Другая крайность у подобных отношений - когда вследствие экзистенциального кризиса и поиска собственного "я", "я" противопоставляется обществу, создавая рукотворные кризисы.
И "синдром спасателя" вряд ли, скорее "синдром кризисного менеджера", который разбирали на всех подряд, включая раннее коммунистическое руководство, и вплоть до современных управляющих.
Подобные тексты могли бы быть полезны, но из-за манипулятивности подачи всё будет неизбежно смазано навязанной борьбой с плохо описываемыми сущностями, которым удобно приписывать как небывалые успехи и победы, так и давящее бетонное угнетение.
Когда коллективные плюсы противопоставляются индивидуальным минусам, и оратор прячется за удобным "мы", невольно ожидаешь в качестве заключения старые добрые формулировки:
Незаинтересованных в чем, простите? Я б сказал что у них будет Очень Большая Политическая заинтересованность, действительно "незаинтересованные" просто не пойдут наблюдателями. Статус наблюдателя легитимизирует любые его выводы о процессе проведения выборов - даже если наблюдатель окажется ангажированным в пользу какого-либо из политиков, который участвует в выборах на наблюдаемом участке. Сама формулировка говорит о том, что для вас демократия - это благая цель, из разряда замены воды в море на лимонад.
Непохоже, чтобы это было связано с самим хромом, хром притянут для благовидного объяснения.
По-моему решение было в связи с недавними политическими событиями, например истории с parler. Перестаёшь предоставлять апи — тебя не втягивают в борьбу за власть.
Теперь примерно понимаю как нацквоты повлияли на развал СССР, когда человек попадает не на своё место. Надеюсь всё-таки мировое правительство преодолеет этот кризис.
Релиз выглядит так, будто у члена сирийского правительства скрысили кубышку и поделили между собой, придумав нечто, чтобы пострадавший и не вздумал вякнуть.
«Вот здесь террористы, вот здесь не террористы, а вот здесь рыбу заворачивали»
Можно ли обсуждать в обществе как себя нужно вести с неполноценными людьми? В принципе, в идеализированном демократическом обществе, наверное можно обсуждать и принудительную лоботомию для их лечения, но должно быть некое чувство приличия, возможно просто демонстрируемое на публику, но оно должно быть.
Либерализм потерял своих легко побеждаемых идеологических противников в виде нацизма и коммунизма, и стал обычной тоталитарной идеологией.
А за «прогрессорство» ещё Стругацких ругали, тут ничего нового.
«В Европе приняты трудовые законы, поэтому внедрение и разборки с законами выполняли российские специалисты».
Классически, по-менеджерски завуалированная издёвка над людьми, которые вкалывали по 12 часов при зарплате явно несравнимой с европейской.
Рекомендую попробовать автозамену
коммунистическая партия — лобби в конгрессе
huawei — cisco
И т.д.
Получится статья про то как американские производители стоят на страже национальных интересов.
P.S. Мотивом по всей статье сочится «Они посмели себя вести как мы, совсем обнаглели».
Просто китайцы хорошие ученики :)
У вас есть Erlang. Вы пишете отважный код рыцаря, одновременно и быстро удаётся вырастить коня, сделать меч и латы. Но принцессу спасти не удаётся — в замке не предусмотрена возможность взаимодействия дракона с рыцарем.
«Правда, иногда появляеся странное чувство, что чем больше мы узнаём о работе мозга, тем более сложным кажется его устройство.»
Я бы даже например рискнуть написать так:
«Правда, иногда появляется странное чувство, что чем больше мы узнаём о работе мозга, тем более сложным становится его устройство.»
Для необходимости познания сложной системы мозг должен её превосходить, и если на момент познания факты понимания работы мозга становятся частично недостоверными?
Возможность обнаружения заложенного в человечестве своего рода race condition была бы забавной вероятностью :)
Где-то на форумах циски встречался фидбэк от инженера — «несекурно, этого у нас не будет никогда».
Правильный путь — руками прописать статический port-forward, и на торент-клиенте не использовать случайный порт)
По моему опыту подделать отправителя ддосерам удавалось редко, и это были такие объёмы, из-за которых приходилось отправлять получателя ддоса в блэкхол аплинкам. Основное преимущество, которое я вижу — нет необходимости блокировать bgp-peer на точке обмена трафиком. То есть это работает более избирательно.
Фильтр по src требует операций commit на изменение, что влечёт изменение глобальной конфигурации с операциями записи. В случае rpf имеется дешёвый аналог flowspec, не ограниченный способностью фильтрации asic платформы, и работающий с пропускными способностями коммутационного чипсета роутера.
200 хостов достаточно для меня, в моих условиях. Не вижу никакой проблемы блокировать 10k хостов при желании, но у меня на обычном хостинге хватало блокировать 200 генераторов, остальное нейтрализовалось на уровне получателя.
Это не моя точка зрения, это доки вендоров и работающие решения на их основе, в том числе и мои :)
juniper:
«The only check in loose mode is whether the packet has a source address with a corresponding prefix in the routing table; loose mode does not check whether the interface expects to receive a packet with a specific source address prefix.»
cisco:
«When administrators use Unicast RPF in loose mode, the source address must appear in the routing table. Administrators can change this behavior using the allow-default option, which allows the use of the default route in the source verification process. Additionally, a packet that contains a source address for which the return route points to the Null 0 interface will be dropped.»
Про остальное:
а) любые пиры у меня (без разницы — eBGP/iBGP) всегда заводятся с maximum-prefix, ничего ужасного до сих пор не разрасталось. При суммарной ёмкости каналов около 10гб ограничения на 200 префиксов на пир, анонсирующий айпишники для локального блэкхола, всегда хватало
б) Это уже наблюдение просто из практики — если количество атакующих хостов вылезает за указанную величину, то приходится объявлять атакуемый айпишник в блэкхол аплинкам, так как перестаёт хватать каналов.
То есть это уже тот предел, когда блокирование в своей зоне ответственности не помогает.
в) Кучи правил по маршрутизации нет, при ограничении 2млн (вроде бы) на допустим mx80 +200 префиксов не делают никакой погоды.
fullview порядка 580к префиксов, ну вот могут у нас появиться в таблице маршрутизации ещё 200 маршрутов /32, это некритично и на производительность не влияет.
urpf loose подразумевает что если у отправителя next-hop discard (или null 0 на циске), то такой пакет роутер дропнет. Количество фулвью и дефолтные маршруты здесь не влияют.
urpf loose смотрит — "маршрут до отправителя есть через любой интерфейс, и роут не указывает на null0=всё, пакет форвардим"
По опыту полученных ddos'ов — довольно редко идёт подмена адреса источника.
Почти у всех провайдеров включен urpf. Много трафика генерят заражённые хосты из датацентров, а там urpf включен ещё чаще чем у провайдеров обычных домашних пользователей.
Блэкхол может быть локальным для бордера, без перераздачи полученного анонса аплинкам.
Просто для того чтобы работал loose rpf.
Получаем анонсы с определённым комьюнити — помещаем в fib с next-hop discard, и нужен junos >=12.1 чтобы была возможность включить rpf-loose-mode-discard.
net.ipv4.tcp_low_latency=1 сделает то что вы хотите. Или можно попроверять профили tuned, где есть в названии latency.Ну и классическое
"после починки проблем с ACK"
Это не баг, это фича
Другая крайность у подобных отношений - когда вследствие экзистенциального кризиса и поиска собственного "я", "я" противопоставляется обществу, создавая рукотворные кризисы.
И "синдром спасателя" вряд ли, скорее "синдром кризисного менеджера", который разбирали на всех подряд, включая раннее коммунистическое руководство, и вплоть до современных управляющих.
Подобные тексты могли бы быть полезны, но из-за манипулятивности подачи всё будет неизбежно смазано навязанной борьбой с плохо описываемыми сущностями, которым удобно приписывать как небывалые успехи и победы, так и давящее бетонное угнетение.
Когда коллективные плюсы противопоставляются индивидуальным минусам, и оратор прячется за удобным "мы", невольно ожидаешь в качестве заключения старые добрые формулировки:
"оторвался от коллектива"
"поставить на вид"
>присутствие незаинтересованных лиц
Незаинтересованных в чем, простите? Я б сказал что у них будет Очень Большая Политическая заинтересованность, действительно "незаинтересованные" просто не пойдут наблюдателями. Статус наблюдателя легитимизирует любые его выводы о процессе проведения выборов - даже если наблюдатель окажется ангажированным в пользу какого-либо из политиков, который участвует в выборах на наблюдаемом участке. Сама формулировка говорит о том, что для вас демократия - это благая цель, из разряда замены воды в море на лимонад.
По-моему решение было в связи с недавними политическими событиями, например истории с parler. Перестаёшь предоставлять апи — тебя не втягивают в борьбу за власть.
Чем дальше в лес, тем меньше Галковский конспиролог.
Релиз выглядит так, будто у члена сирийского правительства скрысили кубышку и поделили между собой, придумав нечто, чтобы пострадавший и не вздумал вякнуть.
«Вот здесь террористы, вот здесь не террористы, а вот здесь рыбу заворачивали»
А за «прогрессорство» ещё Стругацких ругали, тут ничего нового.
Классически, по-менеджерски завуалированная издёвка над людьми, которые вкалывали по 12 часов при зарплате явно несравнимой с европейской.
Идеология диктует внешнюю политику.
коммунистическая партия — лобби в конгрессе
huawei — cisco
И т.д.
Получится статья про то как американские производители стоят на страже национальных интересов.
P.S. Мотивом по всей статье сочится «Они посмели себя вести как мы, совсем обнаглели».
Просто китайцы хорошие ученики :)
Я бы даже например рискнуть написать так:
«Правда, иногда появляется странное чувство, что чем больше мы узнаём о работе мозга, тем более сложным становится его устройство.»
Для необходимости познания сложной системы мозг должен её превосходить, и если на момент познания факты понимания работы мозга становятся частично недостоверными?
Возможность обнаружения заложенного в человечестве своего рода race condition была бы забавной вероятностью :)
Правильный путь — руками прописать статический port-forward, и на торент-клиенте не использовать случайный порт)
Фильтр по src требует операций commit на изменение, что влечёт изменение глобальной конфигурации с операциями записи. В случае rpf имеется дешёвый аналог flowspec, не ограниченный способностью фильтрации asic платформы, и работающий с пропускными способностями коммутационного чипсета роутера.
200 хостов достаточно для меня, в моих условиях. Не вижу никакой проблемы блокировать 10k хостов при желании, но у меня на обычном хостинге хватало блокировать 200 генераторов, остальное нейтрализовалось на уровне получателя.
juniper:
«The only check in loose mode is whether the packet has a source address with a corresponding prefix in the routing table; loose mode does not check whether the interface expects to receive a packet with a specific source address prefix.»
cisco:
«When administrators use Unicast RPF in loose mode, the source address must appear in the routing table. Administrators can change this behavior using the allow-default option, which allows the use of the default route in the source verification process. Additionally, a packet that contains a source address for which the return route points to the Null 0 interface will be dropped.»
Про остальное:
а) любые пиры у меня (без разницы — eBGP/iBGP) всегда заводятся с maximum-prefix, ничего ужасного до сих пор не разрасталось. При суммарной ёмкости каналов около 10гб ограничения на 200 префиксов на пир, анонсирующий айпишники для локального блэкхола, всегда хватало
б) Это уже наблюдение просто из практики — если количество атакующих хостов вылезает за указанную величину, то приходится объявлять атакуемый айпишник в блэкхол аплинкам, так как перестаёт хватать каналов.
То есть это уже тот предел, когда блокирование в своей зоне ответственности не помогает.
в) Кучи правил по маршрутизации нет, при ограничении 2млн (вроде бы) на допустим mx80 +200 префиксов не делают никакой погоды.
fullview порядка 580к префиксов, ну вот могут у нас появиться в таблице маршрутизации ещё 200 маршрутов /32, это некритично и на производительность не влияет.
urpf loose смотрит — "маршрут до отправителя есть через любой интерфейс, и роут не указывает на null0=всё, пакет форвардим"
Из наших производителей видел только qtech, при ужасном cli хорошее неубиваемое оборудование.
Почти у всех провайдеров включен urpf. Много трафика генерят заражённые хосты из датацентров, а там urpf включен ещё чаще чем у провайдеров обычных домашних пользователей.
Блэкхол может быть локальным для бордера, без перераздачи полученного анонса аплинкам.
Просто для того чтобы работал loose rpf.
Получаем анонсы с определённым комьюнити — помещаем в fib с next-hop discard, и нужен junos >=12.1 чтобы была возможность включить rpf-loose-mode-discard.