Изучаем deep packet inspection у RETN

Потому что браузер — это L7. А tcp — это L4 и занимается этим ОС. И как tcp отправляет данные — сугубо фиолетово вышележащим уровням. И надеяться, что уходить данные будут именно теми порциями, какими вы скарлимаваете их тсп с вышележащего уровня — нельзя. Пришел от удаленной стороны win 0 (ну не может удаленная сторона временно принимать наши данные) — и у нас копится буфер. Потом он начнет опорожняться, когда удаленная сторона прочихается. И вся ваша нарезка — собьется.

net-geek.org/dbg/2007/10/reading-tcp-socket.html

Так что DPI изначально это умеют (читать именно tcp поток), если это конечно полноценная DPI, а не простой match ip пакетов, как предполагает автор топика.

Изучаем deep packet inspection у RETN

Думаете, это так неподъемно? Не теми масштабами мыслите.

www.vedomosti.ru/tech/news/15832871/filtr-dlya-rostelekoma

Стартовая цена конкурса — 1,12 млрд руб.

Изучаем deep packet inspection у RETN

Видимо только тсп-пайлоад.

Есть альтернативы. Возможно остинато это умеет. Я пользовался олдовым nemesis

nemesis --help
TCP options:
…
-P Это точно то, что нужно.

Вот еще одно расследование от того же чела.

net-geek.org/dbg/2009/12/yota-scandal.html

Изучаем deep packet inspection у RETN

Вы написали — с любыми флагами. Что-то в статье не видно проверок (или я пропустил?), везде подразумевается метод tcp-коннект. Было бы интересно проделать что-то типа

net-geek.org/dbg/2007/06/lj-banned-words.html
"… Обратите внимание, мы цепляли payload к SYN-пакетам..."

Построение провайдерской сети на коммутаторах Cisco с использованием Option 82 и Dynamic ARP Inspection

Я привел вывод с cisco2960. У меня на них на всех снупинг включен. Факт есть факт — файл перезаписывается. То же самое юзаю на c3560 — такая же картина, файл перезаписывается, никакой кучи файлов нет. с3560 работают много лет, за это время все место исчерпалось бы много раз.

Настроено так

ip dhcp snooping database flash:dhcp_snooping
ip dhcp snooping database write-delay 60
ip dhcp snooping database timeout 60

Так что где-то может это проблема с невысвобождением места и есть, но к железу статьи это относится не должно.

Построение провайдерской сети на коммутаторах Cisco с использованием Option 82 и Dynamic ARP Inspection

>>Очень большая ошибка. Флеш быстро загадится морем файлов. Надо tftp хотя бы.

Сколько ни делал — ни разу не видел. Файл перезаписывается. Он нужен, что бы после внезапной перезагрузки железки у юзеров связь не пропала. Если они напрямую на свиче — они переполучат адреса и это «унюхается» снупингом, а если нет — то нет. А когда есть файлик — инфа подцепиться из него.

sh flash
…
5 -rwx 2097 Sep 3 2013 16:06:38 +04:00 dhcp_snooping

Электронное правительство, руки прочь от моих сайтов

Гхм, прикольно. Из агрегированной статы залез в тектсовые логи — это были вообще обращения на RDP и MSSQL.

Электронное правительство, руки прочь от моих сайтов

И кстать (глянул внимательней) — не только из этой (/24). Из других подсетей класса С, что показывает хуиз.

Вот например

109.207.1.108
gu.gas-u.ru

Авторизации просит.

HTTP/1.1 401 Unauthorized
Content-Length: 83
Content-Type: text/html
Server: Microsoft-IIS/6.0
WWW-Authenticate: NTLM
MicrosoftSharePointTeamServices: 12.0.0.6318
X-Powered-By: ASP.NET
Date: Tue, 27 Aug 2013 13:46:26 GMT
Connection: keep-alive

Электронное правительство, руки прочь от моих сайтов

Хех. Ровно год назад хосты из этой /24 сканили наши внешние адреса на предмет tcp:80
При этом у нас веб-а своего отродясь не было, но домен свой есть, да.

Но это еще что. Работал я как-то в вузе в начале нулевых и однажды внешний адрес институтской транспарент-прокси просканали из сетки яндекса нехило (несколько раз по кругу все 65535 портов). Когда попытался выяснить, в чем же дело, ответ был примерно в том русле, что дескать подозрение на анонимный прокси, ряд поисковых запросов с вашего ip нарушил какую-то там политику поисковика. Надо было сохранить ту переписку для истории.

Ко дню рождения Мастдайки

А еще были программируемые калькуляторы. И клуб электронных игр в Технике молодежи. Кооперативное кафе до сих пор помню.

Скрестить ужа с ежом. Найти все-все 0-day. Захватить Вселенную!11

Вот она — старость.

Скрестить ужа с ежом. Найти все-все 0-day. Захватить Вселенную!11

Хм, а выглядит как просто небрежность. Не всем дано понимать столь тонкий юмор.

Скрестить ужа с ежом. Найти все-все 0-day. Захватить Вселенную!11

А две единицы в конце заголовка должны были быть восклицательными знаками или так задумано? А то кочует из блога в секлаб, теперь вот на хабре.

Как спам-ловушки помогают бороться со спамом?

admin, abuse, postmaster — самые распространенные и обреченные на сбор спама адреса.

Интервью с владельцем Silk Road

Вы что, коллега, какая логика. Это же «голосуй сердцем». Да-да, именно оно.

Интервью с владельцем Silk Road

Если вы и вещества в дружбе — это дело времени. Тогда не попадайтесь в этих состояниях, я не толерантный.

Интервью с владельцем Silk Road

Это с чего бы? Акоголь легалайз и вы пишете про фортели алкашей. Или я чего-то не понял в вашем ходе мысли?

Интервью с владельцем Silk Road

Интимно разлагаться в запертой кваритре после передозы у вас тоже не получится, будете пахнуть за пределами интимной зоны. Я против.

Интервью с владельцем Silk Road

А у меня во дворе те, кто в аптеках постоянно «нафтизинку и инсулинку» стреляют ссут и срут где ни попадя и ревут за стеной моей квартиры потом, как дикие звери. Поэтому делать со своим телом строго все что угодно без причинения неудобств окружающим у вас не получится, поверьте. А еще они из окон выбрасываются, иногда — на головы прохожим.

Интервью с владельцем Silk Road

Ну да, и не нарики крокодильные, гниющие заживо.