К счастью опция PMTU Discovery у меня в роутере есть (прошивка Wive-ng) и включена. А вот команда не работает…
$ ping -s 1492 -Mdo 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 1492(1520) bytes of data.
ping: local error: Message too long, mtu=1500
ping: local error: Message too long, mtu=1500
Пытался погуглить, но пока не нашёл, что за цифра в скобках (1520). Я так понимаю 1492 байта это так называемая «полезная часть», а остальные 28 байт что добавились — итоговый размер пакета с учётом заголовка со служебной частью (1520).
Попробовал выполнив нехитрые арифметические действия 1492-28=1464, выполнить команду ping -s 1464 -Mdo 8.8.8.8 (чтоб итоговый «вес» пакета был равен 1492 байта) и тоже получил облом:
$ ping -s 1464 -Mdo 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 1464(1492) bytes of data.
From 172.16.1.1 icmp_seq=1 Frag needed and DF set (mtu = 1480)
ping: local error: Message too long, mtu=1480
Опытным путём установил что MTU у меня получается равен 1480
$ ping -s 1452 -Mdo 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 1452(1480) bytes of data.
72 bytes from 8.8.8.8: icmp_seq=1 ttl=48 (truncated)
Спасибо большое за статью. Не смотря на то, что знал основы темы, статья помогла узнать о многих интересных нюансах.
Остался вопрос: как наиболее корректно определить и установить на всех устройствах правильный MTU?
Допустим у меня интернет от провайдера через PPPoE (+ роутер). Следовательно я так понимаю надо сначала определить MTU до поднятия PPPoE, а потом вычесть из него дополнительное кол-во байт, которые появляются после инкапсуляции пакета в PPPoE?
Возможно просто не заморачиваться и/или это не актуально для «домашних пользователей»?
Частично беру свои слова обратно. Про всяческие организации особо не задумывался когда писал комментарий. Но вот дома такое ставить — явный признак мазохизма.
ИМХО зря потраченные человеко-часы разработчиков. Лучше б занялись чем-то более полезным, т.к. подавляющее большинство всё равно предпочтут более популярные дистрибутивы типа Debian, Ubuntu, Mint, Fedora, Red Hat и т.д.
Хм. Поддержка винды и виндой это конечно хорошо. Но вот хоть убейте, я не пойму что можно будет с малиной под виндой делать, имея всего гиг оперативы… Комфортно работать я так подозреваю будет только с одной программой, ведь имея гиг RAM, не будет никакой мультизадачности. Даже браузеру будет мало. Тут разве что какой нибудь XBMC поставить и использовать малину как медиацентр.
Подозреваю что большинство останется на Linux.
Подскажите, какое ядро мне качать для моего Linux Mint 17.1 Cinnamon x64 чтобы применить pf-kernel патчи?
uname -a
Linux anonymous 3.13.0-37-generic #64-Ubuntu SMP Mon Sep 22 21:28:38 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux
Смущает то, что у меня 3.13.0, а тут минимальная версия 3.13.1. И, кстати, что значит цифра 37 после версии ядра? И можно ли например взять и поставить сразу 3.17?
PPP это обычное PPPoE для доступа в инет. Интересно кстати, вот кому я нужен? Ни по каким таким подозрительным ресурсам не хожу, подозрительных действий не выполняю. Обычный среднестатистический пользователь. Не понятно с какой целью выполняется атака и чего хочет достигнуть атакующий…
Ещё по статье вопрос: после добавления правила
# iptables -I OUTPUT -p icmp --icmp-type destination-unreachable -j DROP
получается входящего траффика ещё больше стало? И получается атакующий вообще целиком и полностью игнорирует доступность жертвы? Т.е. будет слать пакеты, даже если целевое устройство не в сети?
Вот блин, по тесту Рабкина у меня патология цветового восприятия. Это страшно? Хотя прекрасно вижу. А на тех картинках «в кружочек» за малый промежуток времени ничего не разберёшь. Ни разу кстати квадрат не увидел. Только треугольники и круги.
Да, это так. За это я её и полюбил и предпочитаю устанавливать. Хотя и семёрка с костылём в виде эмуляции флешки тоже устанавливается.
Хотя, например вот такая сборка семёрки отлично встаёт с USB3.0. Лично проверял на VE-300.
На счёт «патчить после обновлений» не понял…
Тут ведь какая проблема: ставим FAT32 — имеем поддержку UEFI, но при этом в силу ограничений фс на макс. объём файла, не сможем кидать на флеху большие исошки.
NTFS — всё наоборот.
+1. Я тоже не очень понял с какой целью собственно это писалось. Я так же могу написать подобную статью «как я сходил в кино». Но кому она будет интересной?
О, рад, что кто то вспомнил про мой пост. Создавайте Fixed Disk в Backup Utility, монтируйте и ставьте на него. Можно и VHD попробовать, но пока лично я не имел с ним дело.
Ну почти. Мне ж терминал намекнул MTU=1480. От этого отнял 28 и получил 1452. А, например, 1453 уже не проходит
Глянул кстати в ifconfig, у меня на интерфейсе wlan0 MTU был 1500. Получается все пакеты с роутера уходили фрагментированные?
Пытался погуглить, но пока не нашёл, что за цифра в скобках (1520). Я так понимаю 1492 байта это так называемая «полезная часть», а остальные 28 байт что добавились — итоговый размер пакета с учётом заголовка со служебной частью (1520).
Попробовал выполнив нехитрые арифметические действия 1492-28=1464, выполнить команду ping -s 1464 -Mdo 8.8.8.8 (чтоб итоговый «вес» пакета был равен 1492 байта) и тоже получил облом:
Опытным путём установил что MTU у меня получается равен 1480
Остался вопрос: как наиболее корректно определить и установить на всех устройствах правильный MTU?
Допустим у меня интернет от провайдера через PPPoE (+ роутер). Следовательно я так понимаю надо сначала определить MTU до поднятия PPPoE, а потом вычесть из него дополнительное кол-во байт, которые появляются после инкапсуляции пакета в PPPoE?
Возможно просто не заморачиваться и/или это не актуально для «домашних пользователей»?
Подозреваю что большинство останется на Linux.
Смущает то, что у меня 3.13.0, а тут минимальная версия 3.13.1. И, кстати, что значит цифра 37 после версии ядра? И можно ли например взять и поставить сразу 3.17?
Ещё по статье вопрос: после добавления правила
получается входящего траффика ещё больше стало? И получается атакующий вообще целиком и полностью игнорирует доступность жертвы? Т.е. будет слать пакеты, даже если целевое устройство не в сети?
zalil.su/309094
Хотя, например вот такая сборка семёрки отлично встаёт с USB3.0. Лично проверял на VE-300.
На счёт «патчить после обновлений» не понял…
NTFS — всё наоборот.
Почитайте и это