У меня даже дома парк ИТ средств меняется со скоростью, которая мне неподвластна. Представляете какая скорость изменений ИТ средств и программного обеспечения в организациях где 1000 и более человек?
Если кто-то принесет Windows в сеть, то вы сразу же сможете включить сигнатуры? А как вы узнаете, что кто-то принес Windows? ) Или какой у вас план на этот случай? )
Подход, который вы описываете, обычно рассказывают сотрудники Check Point и Cisco, потому что у них не получается включить все сигнатуры без кардинального падения производительности. Поэтому им приходится выключать все сигнатуры, которые повышают задержки для трафика, идущего через устройство с этими проверками.
Привет! Статья сугубо практическая, для тех кто реально занимается анализом трафика в сетях. Фрейм (кадр) Ethernet в этой статье рассматривается как структура данных, внутри которой есть поля IP протокола. И мы изучали как меняются поля с адресами внутри этой структуры данных, которая передается от хоста к хосту. Саму структуру фрейма, включая скриншоты со структурой фреймов из wireshark я изобразил в статье https://habr.com/ru/post/707674/ Посмотрите, пожалуйста, внимательно. Слово Frame используется в самой утилите Wireshark для обозначения того же самого. https://wiki.wireshark.org/Protocols/frame
Minecraft использует UDP мультикаст на IP адрес 224.0.2.60 и порт 4445. Мультикаст по IP адресам распространяется через маршрутизауторы, поэтому туннелирование ethernet заголовков через gretap будет лишним, на мой взляд.
Спасибо, отличный обзор. Разница в производительности для разного размера транзакций также важна и для тестов NGFW. Единственное, что уровень абстракции поднимается до 7 уровня приложений и разница видна не только для разных транзакций но и для разных приложений. Например, повторяющаяся тестовая HTTP транзакция, где скачивают файлы 64Кб и 256Кб или 1Мб, или SMB транзакция дают разную нагрузку на модули анализа: IPS, антивирус, песочницу и др. И тестирование по RFC2544 для NGFW уже неактуально, потому что там не передается никакой осмысленный контент приложений - только фреймы с бессмысленным набором символов.
Крутая статья! Спасибо, DataLine!
а у слова bus - автобус? )
У меня даже дома парк ИТ средств меняется со скоростью, которая мне неподвластна. Представляете какая скорость изменений ИТ средств и программного обеспечения в организациях где 1000 и более человек?
Если кто-то принесет Windows в сеть, то вы сразу же сможете включить сигнатуры? А как вы узнаете, что кто-то принес Windows? ) Или какой у вас план на этот случай? )
Подход, который вы описываете, обычно рассказывают сотрудники Check Point и Cisco, потому что у них не получается включить все сигнатуры без кардинального падения производительности. Поэтому им приходится выключать все сигнатуры, которые повышают задержки для трафика, идущего через устройство с этими проверками.
Тогда почему вы не знаете скорость трафика в своей сети, который сейчас подается на устройство?
То есть вы еще этим продуктом реально не пользуетесь?
а откуда вызнаете какая конкретная задача у хакера? )
Какую в итоге функциональность из всей рекламируемой включили? Сигнатуры IPS все 100% включены или только по-умолчанию?
Какую пропускную способность он у вас вытягивает?
Juniper )
Привет! Не понял вопроса. Что нужно объяснить?
UPD: а вижу, что это не мне был вопрос. )
Привет! Статья сугубо практическая, для тех кто реально занимается анализом трафика в сетях. Фрейм (кадр) Ethernet в этой статье рассматривается как структура данных, внутри которой есть поля IP протокола. И мы изучали как меняются поля с адресами внутри этой структуры данных, которая передается от хоста к хосту. Саму структуру фрейма, включая скриншоты со структурой фреймов из wireshark я изобразил в статье https://habr.com/ru/post/707674/ Посмотрите, пожалуйста, внимательно. Слово Frame используется в самой утилите Wireshark для обозначения того же самого. https://wiki.wireshark.org/Protocols/frame
Привет! Каждый фрейм содержит внутри себя все заголовки вышележащих протоколов. Это было описано в предыдущей статье: https://habr.com/ru/post/707674/
именно это и имел в виду, что даже инкапсулирует кадры, где есть Ethernet заголовок.
какое посоветуете название для статьи? сидел мучался как раз над этим )
Про gretap не знал, спасибо! Интересно, что можно даже Ethernet заголовок туда поместить.
значит какие-то файлы все-таки передаются ;-)
Minecraft использует UDP мультикаст на IP адрес 224.0.2.60 и порт 4445. Мультикаст по IP адресам распространяется через маршрутизауторы, поэтому туннелирование ethernet заголовков через gretap будет лишним, на мой взляд.
Даже tftp не работает у вас? ;-)
Круто!
Спасибо, отличный обзор. Разница в производительности для разного размера транзакций также важна и для тестов NGFW. Единственное, что уровень абстракции поднимается до 7 уровня приложений и разница видна не только для разных транзакций но и для разных приложений. Например, повторяющаяся тестовая HTTP транзакция, где скачивают файлы 64Кб и 256Кб или 1Мб, или SMB транзакция дают разную нагрузку на модули анализа: IPS, антивирус, песочницу и др. И тестирование по RFC2544 для NGFW уже неактуально, потому что там не передается никакой осмысленный контент приложений - только фреймы с бессмысленным набором символов.