Да я немнго заплутал %) И вот где:
На больших коробках с DFC СоРР уложить практически не реально за исключением попробывать переполнить по прерыванием ресурсы асика выделенные под него. Но
то из области фантастики, а вот на мелких коробушках типа 72ХХ VXR это вполне себе вариант, т.к. там CoPP срачу лезет на process switching. Согласен с Вами подобные типы атак могут только прогресировать на аппаратно ушербных платформах.
Есть такая штука зовется Non Broadcast Multiaccess, в такой топлогии можно задавать адреса соседей мануально, придумано для сетей которые не поддерживают mcast по своей природе — Frame-relay например
Эм с СоРР я как раз не ошибся. Есть небольшой нюанс его работы — Process Swithing. Сами понимаете сделать так чтобы RP не отвечал на запросы вполне реально, кстати это можно рассматривать в контексте атаки на распределнные коробки с DFC которые как заявляют имеют возможность обрабатывать ACL на ASICе карты в рамках интересов СоРР. САми посмотрите, если светиться loopback на котором терминируется BGP сессии, и в CoPP будут правила для фильтрации трафика этих сессий то теоретически есть возможно вызвать input query congestion для loopback тем самым получить отказ в обработке BGP. ДА можно должго рассуждать насчет скоросте работы шины от карты до PFC и от PFC до CSP но факт остается фактом CP надо защищать на границе сети но не коробке.
Linco, я в целом поддерживаю. Был опыт атаки внутри корпоративной сети, 8G давали на магистраль, естественно что весь трафик стекался к ЦОДам. Вот честно, IDSM2 просто умер и отказался форвардить трафик его пришлось выкинуть из сети, спасло только одно FWSM + MARS (да старый добрый марс), который и помог нам оптимально написать правила для FW и вычислитить трафик. Кстати, сделал для себя еще очень важную заметку, если в сети доступны любые loopback роутеров и не работает CoPP то роутерам хана, если работает CoPP то роутерам хана полюбому. Это я в плане защиты IGP говорю, для нас слава богу решение было заложено в начале стройки сети, использовали IS IS и не вязались к loopback + VRF из которых боты не смогли вырваться к GRT что бы его сложить. Кстати в сети был легкий фон на OSPF атаку, всякого рода hello пакеты на IP адреса роутеров, т.е. пытались подлезть к СР через NBMA атаку. В общем и целом, защитить сеть можно если есть голова на плечах и достаточно денег на инвестиции в производительное оборудование )
Защиту приложений можно выделить в отдельную сферу, и данный материал дал небольшую пишу для размышлений в ключе интеграции приложений и систем обнаружения/защиты.
P.S. извините если сморозил какие-то глупости — утро )
А еще проще сделать на VPN GW Split tunnel ))) И все будет всегда бегать )
И не факт что будет работать если роуты поменять ручками, ipsec это UPD конекция и если сменить шлюз то сессия должна рухнуть )
Доброе утро!
Я давольно давно мучаюсь с СХД, но для себя я вывел на мой взгляд отличную формулу бустродействие/надежность/цена. В своем ЦОДе мы использовали когерентную систему кеширования — т.е. у нас система хранения middle range (IBM DS5100), на ней много разных драйвов, от SATA до SAS (15k), а вот перед ней стоит аппаратный кеш который нам дает на 100Тб (raid space) 128 гб read cache и 16 Гб write cache.
Подобная схема нам позволяет приземлять от машин 130 тыс. IOPS, не большой объем но все же работает все отлично! Кстати забыл добавить на контроллере СХД стоит 4г кеша и на каждой полке по 1г. Но тут надо понимать, решение крайне дорогое в части обслуживания, а именно в обеспечение питания и охлаждения. У нас норматив по работе машин 30 минут, по работе СХД 2 часа, чтобы все кеши опустить на диски.
Уважаемый vxsw я не могу с Вами продолжать дискуссию, т.к. не владею исчерпывающей информацией, о реальном положении дел внутри организации. Все что я описывал мои логические заключения и не более.
Я могу только опираясь на свою логику сделать некоторые выводы назвав их своим мнением.
Я рассуждаю примитивно, с нотками пессимизма, т.е. я не видел примеров которые бы мне показывали робин гудов, а за частую что то масштабное вроде AN создается только с единственной целью — извлечение выгоды. Это может звучать очень не приятно, но тем не менее. Выгода может быть разной, не удивлюсь что она материальна. В общем, все может выглядеть несколько прозаично, примерно как революция, общее начало, затем выделяются лидеры, после они берут под контроль получившуюся массу. Дальше вопрос техники…
Вот насчет мировой войны не вариант. 3ю мы не потянем, и я не думаю что кто то хочет ее развязывать. Может случиться не попровимое, если например кто то не будет таким милым одуваном как СССР, а возмет и заутюжит агрессора.
Хотя если внимательно присмотреться (снять очки которые нам навешивают), то она уже идет в лице стран НАТО против всего мира. Только ее течение не такое стремительное.
При всем моем уважении к Вам, в этом мире не бывает работающих систем без лидера или управляющей группы. Если у Вас есть успешные примеры, давайте обсудим.
Кто по Ваше осуществляет распределение «заказов»? Или кто координирует деятельность группы/сообщества. Если все бы было так как пишут, они бы и дня не продержались, зорро и бэтмана нету )
Вопрос можно поставить немного другим ракурсом, сколько он получил в денежном эквиваленте, за данные. Я пытаюсь только сказать — Джулиан, что то натворил, что послужило поводом для разрыва его отношений с силой которой он подчинался. Теперь он пытаеться спасти свою шкуру. Сможет или нет, не понятно. Если он протянет еще 5 лет, то значит смог, иначе его возьмут под белые ручки, вытрясут, и прикопают, и мы об этом не узнаем!
Более того, они боятся давать ответы на те вопросы которые он поднимает. Но его смело можно назвать провокатором, который издеваеться над новым светом, задает тон вопросов без сомнения он, но как тонко и аккуратно это подаеться. Дозированно, точно в срок. Такое впечатление, он поджаривает своих аппонентов на медленном огне.
Anonymous довольно странные ребята. Они скорее некая третья сила, работающая за конкретное вознаграждение, можно провести паралель с такой организацией как black waters. Я не посвещал им много внимания, поэтому конкретики сказать не могу.
Насчет правительства, тоже сомнительно, т.к. у любой маломальской страны есть свои каналы обмена массами. Для таких целей персона как Джулиан вообще не нужна. Нужны такие как Anonymous, которые могут выполнить грязную работу и подбить простой народ взяться за вилы.
Примерно такой сценарий щас разворачивается у нас в стране, я уверен что он не пройдет. Силенок маловато тягаться с такими монстрами политической манипуляции как Путин и Медведев.
Не сочтите мои высказывния, как правительственную марионетку, я просто излогаю мнение и сухие факты.
Я так подозреваю не совсем. Иначе смысл охотится на него конкретно — вопрос можно решеть элементарно, сами понимаете. Я может щас покажусь немного резким, но всеже рискну:
«Поднятие масс (зловонных), не совсем правильные методы ведения политической войны, действующая власть это может прекратить элементарно. Посадка практикуется только у нас, т.к. у нас более гуманные правители — пока дают только частные уроки. Во времена, процветающего коммунизма, подобные вопросы решались просто — враг народа, зелека.»
В конкретном случае, ликвидация самый простой сбособ борьбы с распространением. Если он жив, и бурление настолько обильное значит есть инструмент который не позволяет сделать такой шаг. Это может серьзно повредить надке процессов в исламском мире, чего новый свет и добивается. Собственно, есть подозрение почему убежище Эквадо, латинская америка как заноза в пальце на американских континентах, один Чавес чего стоит, и его выпады и экономеческие санкции в отношении западных компаний.
На больших коробках с DFC СоРР уложить практически не реально за исключением попробывать переполнить по прерыванием ресурсы асика выделенные под него. Но
то из области фантастики, а вот на мелких коробушках типа 72ХХ VXR это вполне себе вариант, т.к. там CoPP срачу лезет на process switching. Согласен с Вами подобные типы атак могут только прогресировать на аппаратно ушербных платформах.
Защиту приложений можно выделить в отдельную сферу, и данный материал дал небольшую пишу для размышлений в ключе интеграции приложений и систем обнаружения/защиты.
P.S. извините если сморозил какие-то глупости — утро )
И не факт что будет работать если роуты поменять ручками, ipsec это UPD конекция и если сменить шлюз то сессия должна рухнуть )
Я давольно давно мучаюсь с СХД, но для себя я вывел на мой взгляд отличную формулу бустродействие/надежность/цена. В своем ЦОДе мы использовали когерентную систему кеширования — т.е. у нас система хранения middle range (IBM DS5100), на ней много разных драйвов, от SATA до SAS (15k), а вот перед ней стоит аппаратный кеш который нам дает на 100Тб (raid space) 128 гб read cache и 16 Гб write cache.
Подобная схема нам позволяет приземлять от машин 130 тыс. IOPS, не большой объем но все же работает все отлично! Кстати забыл добавить на контроллере СХД стоит 4г кеша и на каждой полке по 1г. Но тут надо понимать, решение крайне дорогое в части обслуживания, а именно в обеспечение питания и охлаждения. У нас норматив по работе машин 30 минут, по работе СХД 2 часа, чтобы все кеши опустить на диски.
Я могу только опираясь на свою логику сделать некоторые выводы назвав их своим мнением.
Я рассуждаю примитивно, с нотками пессимизма, т.е. я не видел примеров которые бы мне показывали робин гудов, а за частую что то масштабное вроде AN создается только с единственной целью — извлечение выгоды. Это может звучать очень не приятно, но тем не менее. Выгода может быть разной, не удивлюсь что она материальна. В общем, все может выглядеть несколько прозаично, примерно как революция, общее начало, затем выделяются лидеры, после они берут под контроль получившуюся массу. Дальше вопрос техники…
Хотя если внимательно присмотреться (снять очки которые нам навешивают), то она уже идет в лице стран НАТО против всего мира. Только ее течение не такое стремительное.
Джона «Соупа» МакТавиша
И кто то второй там был из ЮК.
Насчет правительства, тоже сомнительно, т.к. у любой маломальской страны есть свои каналы обмена массами. Для таких целей персона как Джулиан вообще не нужна. Нужны такие как Anonymous, которые могут выполнить грязную работу и подбить простой народ взяться за вилы.
Примерно такой сценарий щас разворачивается у нас в стране, я уверен что он не пройдет. Силенок маловато тягаться с такими монстрами политической манипуляции как Путин и Медведев.
Не сочтите мои высказывния, как правительственную марионетку, я просто излогаю мнение и сухие факты.
«Поднятие масс (зловонных), не совсем правильные методы ведения политической войны, действующая власть это может прекратить элементарно. Посадка практикуется только у нас, т.к. у нас более гуманные правители — пока дают только частные уроки. Во времена, процветающего коммунизма, подобные вопросы решались просто — враг народа, зелека.»
В конкретном случае, ликвидация самый простой сбособ борьбы с распространением. Если он жив, и бурление настолько обильное значит есть инструмент который не позволяет сделать такой шаг. Это может серьзно повредить надке процессов в исламском мире, чего новый свет и добивается. Собственно, есть подозрение почему убежище Эквадо, латинская америка как заноза в пальце на американских континентах, один Чавес чего стоит, и его выпады и экономеческие санкции в отношении западных компаний.
Ливийски сценарий 84го?
Это уже перебор, на такое Ее Высочество не даст санкции — 100%