Шикарное объяснение, где автор говорит "сейчас будет проще чем с матаном", затем раскрывает вероятность через синус угла, но ни на одном рисунке ни угла "тэта", ни синуса, конечно же не будет. Так не проще. Так хуже.
Буквально вчера – винда не качалась с российских IP. Более того, судя по поведению, там не в IP дело, а скоринге системных данных, позволяющих соотнести пользователя к РФ (язык системы, часовой пояс и т.д.). Если у кого-то качается – напишите плз, буду дальше экспериментировать. +++ По поводу лицензий: MS не терминировала контракты с сублицензированием через облачных операторов. Только там лицензии стоят гораздо дороже, но зато подсчёт их аренды идёт по факту использования. Т.е. все кому лицензии нужны, могут воспользоваться услугами любого крупного облака. Они также предоставляют лицензии on-premise, а не только в облаке.
Тимс + эксчендж онлайн + облачный шарепоинт + планнер + эжур + visual studio – экосистема, которую ничем не заменить. По функционалу, цене и синергии ничего даже рядом из протестированного не нашёл ((
Точно так же, как и большинство распиаренных Вики + таск/тикет трекингов, рядом с продуктами atlasian выглядят бледно.
Пара сотен собеседований и сервис готов) это такой модный-современный метод разработки devless. Декомпозируешь сервис по спринтам, на каждый спринт выделяешь по пять кандидатов, кто-нибудь да напишет часть. Последние два спринта - просишь предыдущие в одно целое собрать)
Да, блин. С таким же успехом можно написать "Жадность менеджмента убила пациента. Отказ выплатить деньги за пентест, парализовавший работу компьютеров больницы привёл к смерти пациента"
Или "Разгильдяйство ИБ и низкий уровень защиты больницы привели к смерти пациента"
Сегодня у них хакеры, завтра — блекаут и виноваты будут электросети, послезавтра воду отключат из-за неоплаченного вовремя счёта и виноваты будут банки и водоканал, пожар — виноват курильщик, обильные дожди — виновата погода. Ответственность нужно брать, а не сваливать на других. Сами облажались, а теперь выкручиваются. За неделю уж можно на всех компах и серверах систему снести, нет они чего-то ждали. Дождались?
"канал Inter Switch Link (ISL), который разделит пропускную способность ISL с обычным сетевым трафиком, сетевой трафик получит высший приоритет"
подробнее, пожалуйста)) ISL - это сисковский аналог vlan, проприетарный, использовался на CatOS. С конца девяностых о нём ничего не слышал (оцените свежесть материала - 20-с-хреном-лет). Сетевой трафик получит высший приоритет от кого?)) для чего?))
При использовании SPAN создаются дублирующиеся пакеты данных, что снижает эффективность инструментов мониторинга
Ого! Но как? Почему эффективность снижается?
SPAN может легко переподписаться, отбрасывая пакеты, также наблюдаются потери пакетов в случае перегрузки портов или в случае наличия в них ошибок. В результате «некорректной работы» сетевой специалист упускает из вида часть пользовательского трафика, что не позволяет выявить серьезные ошибки в работе сети, а специалист по информационной безопасности может упустить вирусный трафик или атаку злоумышленника
Эээ. Ну, так-то и аплинк легко переподписывается. Не будем использовать аплинки?
Сетевой специалист ничего не упускает. Приведите пример. Специалист по ИБ тоже ничего не упускает - пример пожалуйста)
Данные 1 уровня, повреждённые и некорректные пакеты, неправильный CRC, межкадровый интервал и другие нестандартные данные не пересылаются на SPAN- порты. Следовательно, SPAN не подходит для мониторинга, захвата и анализа протокола реального времени (RTP), особенно в современных стратегиях оценки среднего значения качества голоса или видео (MOS) и качества восприятия в целом (QoE)
О каких данных первого уровня речь?))
некорректные, повреждённые пакеты, неправильный CRC (это что-то отличное от некорректных пакетов?), данные 1 уровня и межкадровый интервал - что-то из этого используется в RTP и поэтому RTP нельзя мониторить, я правильно понял?))
MOS это разве не про кодек?))
QoE - с нулевых ничего не слышал, это вроде как "юзер экспириенс"? "ой шото лагает", да? SPAN лагает, конечно)
Теги VLAN не передаются через SPAN-порт, поэтому это может привести к обнаружению ложных проблем и затруднению поиска проблем VLAN
Передаются)) Лол))
SPAN-порты предоставляют только обобщенные данные
Это как? Что не так с этими данными?))
SPAN-порты изменяют временные метки пакетов
не больше чем при обычной коммутации
Доказано, что SPAN-порты можно взломать (поэтому они могут представлять угрозу безопасности)
показывайте, ладно, ваше доказательство)
SPAN-порт имеет самый низкий приоритет на коммутаторе, когда дело доходит до выбора между основным трафиком и трафиком SPAN
Что за ересь?)) Где это написано?
Зная, что SPAN-порт произвольно отбрасывает трафик при определенных условиях нагрузки, какую стратегию должны принять пользователи, чтобы не пропустить кадры? Согласно «white paper» Cisco - «лучшая стратегия состоит в том, чтобы принимать решения, на основании загрузки портов в текущей конфигурации, и в случае сомнений применять SPAN-порт только при относительно низкой загрузке».
Какая связь между "отбрасывает трафик" и "использованием только при относительно низкой нагрузке в случае сомнения"?
Remote SPAN (RSPAN), в свою очередь, позволяет производить мониторинг трафика на физически удаленных портах, через сеть коммутаторов.
Лол)) Нет, не позволяет)) У меня вот - ремут спан на одном коммутаторе и я хочу мониторить порт у соседнего коммутатора - но не получается)) Как вы настраивали?
RSPAN не является жизнеспособной технологией доступа к зеркалу трафика, особенно если пакеты передаются по глобальной сети.
Чего?)))) RSPAN по глобальной сети? Это как?
RSPAN поглотит всю вашу пропускную способность, передавая кадры обратно на ваш локальный коммутатор, которые уже прошли через сеть.
обратно в коммутатор?)))) ахахахах
Пожалуйста, пишите ещё! Я от всех сетевиков вас благодарю и мы ждём рассказ про ещё какую-нибудь технологию или протокол. Я даже сохраню это.
В последствии всё можно сделать, но не до конца эффективно. Мы встречали малварь, которая запоминала SSL-сертификат сервера, и если был другой, то самоудалялась. С эмуляцией могут быть такие же вещи (на практике не видели, но всё может быть).
Понял. Это не круто, потому что равносильно «круто, если прилетят агрессивные инопланетяне-слоны с хвостами-патчкордами, чувствительными к хендшейкам TLS, мы тогда их смогли бы быстро находить и отправлять им в хвост, изгнав с Земли». Не имеет практической ценности.
Тут мы имели в виду, что нам всё равно, на каком порту поднято TLS-соединение. TLS-рукопожатие легко детектится на любом порту.
Задачи при базовом фингерпринтинге — захватить начало TLS-рукопожатия. Нам не нужно производить глубокий анализ следующих пакетов (как это делают DPI-системы). Про нулевые требования, это мы лихо сказали конечно.
Так любой NGFW точно так же работает, ему не нужно захватывать все остальные пакеты, чтобы понять что перед ним сейчас. Что мешает, в любом TCP-фрейме, который пришёл смотреть сразу в пейлоад и если первый байт равен 16, а следующие два попадают под паттерн версии (например 0301) — определять это как хендшейк и не смотреть на порты в принципе? Ничего. Я не совсем понимаю — чего нового вы предлагаете.
Фраза про отброс пакетов относится к “с ограничениями ресурсов”, и опять повторю, что наша цель — захватить начало TLS-соединения, а дальше при фингерпринтинге нам всё равно, что происходит в сети — идут ли отбросы пакетов, перестроение маршрутов и т.д. Мы свои данные получили (опять сошлюсь на DPI-системы, которые в таких условиях и с частичной информацией работать не будут).
А зачем тогда упоминать про «сети с ассиметричной маршрутизацией», если они не важны?
Именно, что никак!
Вы пишите " независимо от того, были ли они скрыты из-за работы на нестандартных портах."
Если «никак», то какой смысл несёт эта фраза?
Если сенсор — это приёмник SPAN трафика, то каким образом фраза
Круто детектить хендшейки, потому что можно захватывать пакеты приветствия клиента TLS с высокой степенью точности по всем портам с абсолютно нулевым требованием для захвата обоих направлений потока. Это означает, что датчики в среде с асимметричной маршрутизацией или с ограничениями ресурсов, потенциально вызывающими отбрасывание пакетов, все равно могут собирать пакеты приветствия клиента, независимо от того, были ли они скрыты из-за работы на нестандартных портах.
относится к хендшейкам? Круто SPAN использовать — это понятно. Если детектить не SPAN'ом, а чем-то другим, то эта фраза у вас сохранит свою актуальность? Если «да», то зачем вы про SPAN рассказывали в объяснении, если фраза не про него? Если «нет», то это уже не круто, т.к. к теме не имеет отношения.
Третье утверждение содержится во втором, которое «не круто»
Получается три «не круто» из трёх. ;)
Спасибо за разъяснения. Того кто писал не ругайте, а то всю охоту писать отобьёте. Хоть и каша, но если бы технарь хотел писать статьи и понятно излагать свои мысли — пошёл бы на журналиста учиться.
Пакет приветствия клиента — это первый пакет в любом TLS-соединении. Это позволяет принимать решение о последующих мерах в начале сеанса до того, как потребуется подмена протокола или эмуляция.
Можно захватывать пакеты приветствия клиента TLS с высокой степенью точности по всем портам с абсолютно нулевым требованием для захвата обоих направлений потока. Это означает, что датчики в среде с асимметричной маршрутизацией или с ограничениями ресурсов, потенциально вызывающими отбрасывание пакетов, все равно могут собирать пакеты приветствия клиента, независимо от того, были ли они скрыты из-за работы на нестандартных портах.
Пакеты приветствия клиента возникают достаточно редко, поэтому дополнительная обработка хэшей не повлечет значительных затрат.
Я не понял эти пункты.
решение о последующих мерах в начале сеанса до того, как потребуется подмена протокола или эмуляция
— последующие меры чего? Когда подмена и какого протокола (или эмуляция) может потребоваться? Почему нельзя подменить протокол или эмулировать что-то в последствии?
Дальше — совсем не понял.
с высокой степенью точности по всем портам
Что за «точность» подразумевается в захвате трафика? Разве можно его захватывать «не точно»?
с абсолютно нулевым требованием для захвата обоих направлений потока
Т.е. захватывается односторонний трафик «только от клиента к серверу» (под описание трафик «от сервера к клиенту» тоже подходит)? Почему так? Это не совсем «нулевое требование», нужно явным образом запретить принимать одно из направлений, потому что по умолчанию дампятся оба направления.
Это означает, что датчики в среде с асимметричной маршрутизацией или с ограничениями ресурсов, потенциально вызывающими отбрасывание пакетов
Почему в среде с ассиметричной маршрутизацией будет отбрасывание пакетов? Какое дело датчикам до симметрии, это же датчики в работающей среде, а не «только что установленный FW, который не может поддержать statefull-сессию из-за того, что часть трафика мимо него прошла».
все равно могут собирать пакеты приветствия клиента, независимо от того, были ли они скрыты из-за работы на нестандартных портах.
А как приветствие клиента можно спрятать на нестандартном порту? Можно чуть подробнее, пожалуйста?
Датчики с небольшими ресурсами могут собирать пакеты, которые им шлёт клиент, в среде с ассиметричной маршрутизацией, независимо от порта с которого клиент прислал пакет. Так, правильно? У вас именно так написано. Значит ли, что в среде с симметричной маршрутизацией сбор пакетов уже будет зависеть от порта с которого они пришли? Я честно не понимаю что вы имели в виду и как это у вас работает в теории хотя бы.
Пакеты приветствия клиента возникают достаточно редко, поэтому дополнительная обработка хэшей не повлечет значительных затрат.
Вы уже говорили про недостаток ресурсов в предыдущем пункте. Скорее всего это повторение.
— Далее, пример:
Порядок полей следующий
TLSVersion,Ciphers,Extensions,EllipticCurves,EllipticCurvePointFormats
TLSVersion=0301=769 — у вас 771
Далее идут 36 CypherSuites (вы их же назвали Ciphers — или куда-то в другое место надо смотреть? Стрелочкой на сьюты показываете), первое со значением 00ff, у вас же 28 значений и нигде нет, как и 00a и далее.
Затем, семь значений Extensions — откуда они получены? На картинке их нет ни по количеству ни по значениям.
Далее у вас EllipticCurves — четыре значения. Откуда они берутся? На картинке этого нет.
EllipticCurvePointFormats — почему значение взято из поля «uncompressed», а не с его родного, где 1?
Дальше не читал, так как бестолку — если с основами не разобрался, дальше ничего будет непонятно.
Похоже, что я единственный кто вашу статью читал. Я сначала думал, что «просто я — тупой», но никто из тех, кому я показал и спросил «а как», мне не смог рассказать, что вы имели ввиду и почему именно так. =) Потрудитесь объяснить, пожалуйста.
TLDR: автор похож на одну из сотен, инстаграмных леди-коучей, оставшихся не у дел, и рассказывающих как круто получать подарки и менять парней. Вот список что нужно сказать, чтобы подарили кольцо. Любовь за деньги не купишь! Фу таким быть! =)
+++++++++
Надо подумать что делать с новым потоком кандидатов. "Спасибо", блин, большое.
Сколько было напрасно потраченного времени, когда по резюме приглашают кандидата, а он — как младшее сталеросовое полено, почему-то сбежавшее из подготовительных казарм армии Урфина Джуса.
С таким успехом перекупы на рынках машины продают — "не битая, не крашеная, бабушка по выходным за хлебом ездила, пробег родной". Ну а что? Если правду говорить, тогда кто ж её купит за те деньги, что хочется?
Какой смысл спрашивать "а вы бы как сделали" или "а как правильно", когда речь идёт о философии бытия.
Каждый сам выбирает правильно или нет — пролезть в магазине без очереди (ну, а что, зато сэкономил 20 минут. А как было правильно, чтобы 20 минут в очереди не стоять?), рассказать боссу-женщине, что вчера твой менеджер рассказывал сексистский анекдот, да и вообще женщин за людей не считает (ну, а что, зато продвинулся на его место. А как правильно, чтобы сразу менеджером стать?), и т.д.
То что в начало поста повешена картинка "вредные советы", как бэкдор, чтобы в случае чего сказать "так я-то как раз и не советую", вообще ничего не меняет. Автор советует обманывать работодателя, который примет на работу такого cuckoos'spec и как результат, получит минус по деньгам, минус по профессиональной области, проблемы в которой были драйвером хайринга, горение пониже спины у профессионалов, которые это видят, затрату ресурсов специалистов, которых он будет отвлекать вопросами "а как?", и которые будут должны часть обязанностей кукушечьей вакансии взять. Как следствие — плохое настроение коллектива, демотивацию, потерю конкурентных преимуществ, худшее положение на рынке. Причём обворовывается не только работодатель, а коллеги в основном. Которые всё время, пока паразит не сменит хозяина, будут вынуждены оплачивать своими часами его попытки "стать dba за 21 день" и хождение по собеседованиям. Думаю никто не будет спорить, что лучше знающий профессионал, чем подражатель-приживала? В целом, на западе есть такое выражение, в юриспруденции, как Goodwill, на наше переводят как "деловая репутация", хотя термин несколько шире, включает себя те самые моральные ценности компании, с которыми у автора не ладилось. Так вот, именно она и страдает, что в итоге понижает рыночную стоимость компании, в лучшем случае, а в худшем — понижает качество услуг по отрасли, что потом, эффектом бабочки, выльется в трагедию. Это эффект Данинга-Крюгера, думать, что "да херня, я разобрался и нормально, планы выполнял". Да, именно поэтому дата-сатанистов учат матану и алгоритмам пять лет, потому что "а мужики-то не знают, что Гуглом можно пользоваться".
Да, если если врать и притворяться, то можно, создав ауру успеха, хоть Гербалайф продавать, хоть пылесосы Кирби, хоть себя на рынке. Это работает. Никто не спорит, что успех нельзя построить на лжи. Но это не значит, что социальные институты предусматривают такой подход как верный.
В играх читеров не любят. Хотя что мешает всем читы вводить и бегать? Может быть не всем нравится читерить? Почему все нормальные инженеры, которых автор лихо обскакал на коне из папье-маше, достойны меньшего, почему автор занимал их места? Потому что "ну, они тоже могли так действовать, кто же им мешал"? Или "если не я, то на это место пришёл бы другой ушлый пройдоха, так чего мне зря возможность терять"? Потому что не все хотят себя так паскудно вести. Есть понятие общественного договора, какие-то правила поведения, не прописанные в КоАП или ГК/УК. Например, портить воздух в лифте — нельзя, хотя закон не запрещает. Например, заглядывать в окна на первых этажах, или подглядывать в бинокль — тоже не одобряется социумом.
Первым покидать тонущий корабль, расталкивая всех локтями с криком "мне семью кормить" — не запрещается законом, конечно.
Я бы и диагноз поставил, потому что имея такую психопатологию, в виде поверхностного восприятия моральных ценностей, чувств, и не иметь какой-нибудь девиации поведения при этом — невозможно, потому что прям по Скиннеру, такая девиация будет получать положительное подкрепление оперантного обуславливания. Например, девушка с низкой социальной ответственностью, имея патологию не позволяющую испытывать привязанность к одному партнёру, будет иметь девиацию в виде частой смены партнёров, а получив положительное подкрепление (деньги), сочтёт, что прочла код успеха этой жизни и пойдёт писать книгу "продавай себя пока покупают" с откровениями "девочки, за это же платят! Что вы без денег-то все сидите!". Но это вовсе не значит, что все вокруг такие же)
Деньги, несомненно, играют важную роль в жизни. Иногда они могут выходить на первое место, в периоды кризисов, беды, когда от них зависит нижний, базовый уровень по Маслоу. Но, всегда, в других случаях, это не главное. Иногда даже не в десятке. Есть вещи, которые не купить за деньги.
Очень странно видеть тут людей, которые поддерживают методы автора, надеюсь, что они просто ещё не подумали, какая цена успеха и оправдывает ли цель средства.
Очень отрадно видеть хоть редкие, и, судя по плюсам, не такие популярные мнения, что автор глубоко не прав — моё почтение.
При таких вводных — разумеется, покупать оперативную память не стоит. Мне казалось, мы рассматриваем кейс с более-менее регулярным использованием swap. Даже скажем "с перманентным".
Но ведь у вас главная претензия была к прибитой вкладке хрома. Хром же в юзер-спейс запускается. Исходя из данных, которые от вас поступают, что со swap, что без, его бы oom-killer прибил, если в юзер-спейс место закончится, верно?
Не сумеет, я тоже не разбираюсь, поэтому и спросил) Не я же статью писал.
Я правильно понимаю, исходя из вашего замечания, что юзер-спейс не свапится, и поэтому не имеет отношения к публикации?
Давайте заново, а то я чувствую что вы обижаетесь. Вы проделали хорошую работу, написали статью, чтобы людям было понятнее, меньше ошибок совершали, больше разбирались в ИТ. Вы — молодец, и я ни в коем случае не хотел обесценить ваш труд. Вопрос управления памятью в линуксе ни разу не тривиален, и время от времени всплывают научные публикации на эту тему: https://opus4.kobv.de/opus4-fau/frontdoor/index/index/docId/8340
и даже целые книги: https://repo.zenk-security.com/Forensic/The%20Art%20of%20Memory%20Forensics%20-%20Detecting%20Malware%20and%20Threats%20in%20Windows,%20Linux,%20and%20Mac%20Memory%20(2014).pdf
Тем не менее, вам правильно замечают коллеги, что эксперимент RAM+SWAP честно было бы сравнивать с RAM+RAM. И тогда все иллюзии по поводу необходимости SWAP на диске исчезнут. Тем более, что мы живём во время активного развития DCPM, когда границы RAM и дисковой подсистемы уже довольно размыты.
Я бы почитал структурированную статью о современных алгоритмах выделения памяти в зависимости от функции процесса, которому она выделяется. А то в интернете везде кусками — где-то про мьютексную аллокацию, где-то про slabinfo, где-то про iomem, а так чтобы всё вместе и без воды — нигде нет.
Сначала у меня бомбануло, но вижу, что уже задают автору правильные вопросы. Совершенно согласен. Или можно наоборот, пусть автор выделит кусок оперативы для swap, и будет быстро и безопасно. Мы просто не маемся дурью и пропускаем эти брачные танцы со swap в RAM, а предпочитаем использовать всю, но следить за утилизацией. Сразу видно кто не кодил на Си)
А ООМ киллер, убивший вкладку хрома — крайне специфичный кейс, поскольку киллер не всё подряд убивает, а по рейтингу, который он составляет исходя из user time процесса, cpu time и прочего.
К тому же, память иначе выделяется, где же кучи, чанки, арены? Причём одна арена обслуживается одним cpu потоком. И т.д. https://sourceware.org/glibc/wiki/MallocInternals
Надеюсь, у вас всё получится. Жалко когда честную работу сливают по надуманным поводам. Зато крупнейшее русскоговорящее ИТ-коммьюнити оценило, это тоже чего-то стоит.
Ну, это какая-то борода. Напишите в FB, что вы не исследовали функционал безопасности первичной аутентификации, а ваша работа относится к багу функционала возврата прежних значений email и номера телефона. Это пертинентно только для случая когда угон аккаунта уже произошёл, и злоумышленник поменял эти значения.
Жлобьё, зла не хватает.
По метафоре: вы нашли багу в катапульте, которая делает катапультирование пилота самолёта невозможной. А они говорят "ну, чтобы катапультирование произошло, нужно сильно ушатать самолёт, а входной барьер для этого высокий". Не надо подменять понятия. Пусть отрабатывают по найденной уязвимости, конкретного механизма. Если такие умные, пусть убирают этот функционал, ведь чтобы им воспользоваться, надо потерять контроль над аккаунтом, а входной барьер для этого очень высок.
А как повторить, чтобы при одинаковых размерах блока и характерах трафика, получить на порядок отличающиеся задержки, а скорость передачи примерно одинаковую? Я кроме как "ставить на порядок большую паузу между запросами (!) с нагрузочной машины" не придумал ничего.
Шикарное объяснение, где автор говорит "сейчас будет проще чем с матаном", затем раскрывает вероятность через синус угла, но ни на одном рисунке ни угла "тэта", ни синуса, конечно же не будет. Так не проще. Так хуже.
Буквально вчера – винда не качалась с российских IP. Более того, судя по поведению, там не в IP дело, а скоринге системных данных, позволяющих соотнести пользователя к РФ (язык системы, часовой пояс и т.д.). Если у кого-то качается – напишите плз, буду дальше экспериментировать.
+++
По поводу лицензий: MS не терминировала контракты с сублицензированием через облачных операторов. Только там лицензии стоят гораздо дороже, но зато подсчёт их аренды идёт по факту использования. Т.е. все кому лицензии нужны, могут воспользоваться услугами любого крупного облака. Они также предоставляют лицензии on-premise, а не только в облаке.
Тимс + эксчендж онлайн + облачный шарепоинт + планнер + эжур + visual studio – экосистема, которую ничем не заменить. По функционалу, цене и синергии ничего даже рядом из протестированного не нашёл ((
Точно так же, как и большинство распиаренных Вики + таск/тикет трекингов, рядом с продуктами atlasian выглядят бледно.
Пара сотен собеседований и сервис готов) это такой модный-современный метод разработки devless. Декомпозируешь сервис по спринтам, на каждый спринт выделяешь по пять кандидатов, кто-нибудь да напишет часть. Последние два спринта - просишь предыдущие в одно целое собрать)
Да, блин. С таким же успехом можно написать "Жадность менеджмента убила пациента. Отказ выплатить деньги за пентест, парализовавший работу компьютеров больницы привёл к смерти пациента"
Или "Разгильдяйство ИБ и низкий уровень защиты больницы привели к смерти пациента"
Сегодня у них хакеры, завтра — блекаут и виноваты будут электросети, послезавтра воду отключат из-за неоплаченного вовремя счёта и виноваты будут банки и водоканал, пожар — виноват курильщик, обильные дожди — виновата погода. Ответственность нужно брать, а не сваливать на других. Сами облажались, а теперь выкручиваются. За неделю уж можно на всех компах и серверах систему снести, нет они чего-то ждали. Дождались?
Сбор, систематизация и накопление персональных данных владельца и его окружения.
Большего бреда в жизни не читал))
Расскажите про
подробнее, пожалуйста)) ISL - это сисковский аналог vlan, проприетарный, использовался на CatOS. С конца девяностых о нём ничего не слышал (оцените свежесть материала - 20-с-хреном-лет). Сетевой трафик получит высший приоритет от кого?)) для чего?))
Ого! Но как? Почему эффективность снижается?
Эээ. Ну, так-то и аплинк легко переподписывается. Не будем использовать аплинки?
Сетевой специалист ничего не упускает. Приведите пример. Специалист по ИБ тоже ничего не упускает - пример пожалуйста)
О каких данных первого уровня речь?))
некорректные, повреждённые пакеты, неправильный CRC (это что-то отличное от некорректных пакетов?), данные 1 уровня и межкадровый интервал - что-то из этого используется в RTP и поэтому RTP нельзя мониторить, я правильно понял?))
MOS это разве не про кодек?))
QoE - с нулевых ничего не слышал, это вроде как "юзер экспириенс"? "ой шото лагает", да? SPAN лагает, конечно)
Передаются)) Лол))
Это как? Что не так с этими данными?))
не больше чем при обычной коммутации
показывайте, ладно, ваше доказательство)
Что за ересь?)) Где это написано?
Какая связь между "отбрасывает трафик" и "использованием только при относительно низкой нагрузке в случае сомнения"?
Лол)) Нет, не позволяет)) У меня вот - ремут спан на одном коммутаторе и я хочу мониторить порт у соседнего коммутатора - но не получается)) Как вы настраивали?
Чего?)))) RSPAN по глобальной сети? Это как?
обратно в коммутатор?)))) ахахахах
Пожалуйста, пишите ещё! Я от всех сетевиков вас благодарю и мы ждём рассказ про ещё какую-нибудь технологию или протокол. Я даже сохраню это.
Понял. Это не круто, потому что равносильно «круто, если прилетят агрессивные инопланетяне-слоны с хвостами-патчкордами, чувствительными к хендшейкам TLS, мы тогда их смогли бы быстро находить и отправлять им в хвост, изгнав с Земли». Не имеет практической ценности.
Так любой NGFW точно так же работает, ему не нужно захватывать все остальные пакеты, чтобы понять что перед ним сейчас. Что мешает, в любом TCP-фрейме, который пришёл смотреть сразу в пейлоад и если первый байт равен 16, а следующие два попадают под паттерн версии (например 0301) — определять это как хендшейк и не смотреть на порты в принципе? Ничего. Я не совсем понимаю — чего нового вы предлагаете.
А зачем тогда упоминать про «сети с ассиметричной маршрутизацией», если они не важны?
Вы пишите " независимо от того, были ли они скрыты из-за работы на нестандартных портах."
Если «никак», то какой смысл несёт эта фраза?
Если сенсор — это приёмник SPAN трафика, то каким образом фраза
относится к хендшейкам? Круто SPAN использовать — это понятно. Если детектить не SPAN'ом, а чем-то другим, то эта фраза у вас сохранит свою актуальность? Если «да», то зачем вы про SPAN рассказывали в объяснении, если фраза не про него? Если «нет», то это уже не круто, т.к. к теме не имеет отношения.
Третье утверждение содержится во втором, которое «не круто»
Получается три «не круто» из трёх. ;)
Спасибо за разъяснения. Того кто писал не ругайте, а то всю охоту писать отобьёте. Хоть и каша, но если бы технарь хотел писать статьи и понятно излагать свои мысли — пошёл бы на журналиста учиться.
Я не понял эти пункты.
— последующие меры чего? Когда подмена и какого протокола (или эмуляция) может потребоваться? Почему нельзя подменить протокол или эмулировать что-то в последствии?
Дальше — совсем не понял.
Что за «точность» подразумевается в захвате трафика? Разве можно его захватывать «не точно»?
Т.е. захватывается односторонний трафик «только от клиента к серверу» (под описание трафик «от сервера к клиенту» тоже подходит)? Почему так? Это не совсем «нулевое требование», нужно явным образом запретить принимать одно из направлений, потому что по умолчанию дампятся оба направления.
Почему в среде с ассиметричной маршрутизацией будет отбрасывание пакетов? Какое дело датчикам до симметрии, это же датчики в работающей среде, а не «только что установленный FW, который не может поддержать statefull-сессию из-за того, что часть трафика мимо него прошла».
А как приветствие клиента можно спрятать на нестандартном порту? Можно чуть подробнее, пожалуйста?
Датчики с небольшими ресурсами могут собирать пакеты, которые им шлёт клиент, в среде с ассиметричной маршрутизацией, независимо от порта с которого клиент прислал пакет. Так, правильно? У вас именно так написано. Значит ли, что в среде с симметричной маршрутизацией сбор пакетов уже будет зависеть от порта с которого они пришли? Я честно не понимаю что вы имели в виду и как это у вас работает в теории хотя бы.
Вы уже говорили про недостаток ресурсов в предыдущем пункте. Скорее всего это повторение.
— Далее, пример:
TLSVersion=0301=769 — у вас 771
Далее идут 36 CypherSuites (вы их же назвали Ciphers — или куда-то в другое место надо смотреть? Стрелочкой на сьюты показываете), первое со значением 00ff, у вас же 28 значений и нигде нет, как и 00a и далее.
Затем, семь значений Extensions — откуда они получены? На картинке их нет ни по количеству ни по значениям.
Далее у вас EllipticCurves — четыре значения. Откуда они берутся? На картинке этого нет.
EllipticCurvePointFormats — почему значение взято из поля «uncompressed», а не с его родного, где 1?
Дальше не читал, так как бестолку — если с основами не разобрался, дальше ничего будет непонятно.
Похоже, что я единственный кто вашу статью читал. Я сначала думал, что «просто я — тупой», но никто из тех, кому я показал и спросил «а как», мне не смог рассказать, что вы имели ввиду и почему именно так. =) Потрудитесь объяснить, пожалуйста.
TLDR: автор похож на одну из сотен, инстаграмных леди-коучей, оставшихся не у дел, и рассказывающих как круто получать подарки и менять парней. Вот список что нужно сказать, чтобы подарили кольцо. Любовь за деньги не купишь! Фу таким быть! =)
+++++++++
Надо подумать что делать с новым потоком кандидатов. "Спасибо", блин, большое.
Сколько было напрасно потраченного времени, когда по резюме приглашают кандидата, а он — как младшее сталеросовое полено, почему-то сбежавшее из подготовительных казарм армии Урфина Джуса.
С таким успехом перекупы на рынках машины продают — "не битая, не крашеная, бабушка по выходным за хлебом ездила, пробег родной". Ну а что? Если правду говорить, тогда кто ж её купит за те деньги, что хочется?
Какой смысл спрашивать "а вы бы как сделали" или "а как правильно", когда речь идёт о философии бытия.
Каждый сам выбирает правильно или нет — пролезть в магазине без очереди (ну, а что, зато сэкономил 20 минут. А как было правильно, чтобы 20 минут в очереди не стоять?), рассказать боссу-женщине, что вчера твой менеджер рассказывал сексистский анекдот, да и вообще женщин за людей не считает (ну, а что, зато продвинулся на его место. А как правильно, чтобы сразу менеджером стать?), и т.д.
То что в начало поста повешена картинка "вредные советы", как бэкдор, чтобы в случае чего сказать "так я-то как раз и не советую", вообще ничего не меняет. Автор советует обманывать работодателя, который примет на работу такого cuckoos'spec и как результат, получит минус по деньгам, минус по профессиональной области, проблемы в которой были драйвером хайринга, горение пониже спины у профессионалов, которые это видят, затрату ресурсов специалистов, которых он будет отвлекать вопросами "а как?", и которые будут должны часть обязанностей кукушечьей вакансии взять. Как следствие — плохое настроение коллектива, демотивацию, потерю конкурентных преимуществ, худшее положение на рынке. Причём обворовывается не только работодатель, а коллеги в основном. Которые всё время, пока паразит не сменит хозяина, будут вынуждены оплачивать своими часами его попытки "стать dba за 21 день" и хождение по собеседованиям. Думаю никто не будет спорить, что лучше знающий профессионал, чем подражатель-приживала? В целом, на западе есть такое выражение, в юриспруденции, как Goodwill, на наше переводят как "деловая репутация", хотя термин несколько шире, включает себя те самые моральные ценности компании, с которыми у автора не ладилось. Так вот, именно она и страдает, что в итоге понижает рыночную стоимость компании, в лучшем случае, а в худшем — понижает качество услуг по отрасли, что потом, эффектом бабочки, выльется в трагедию. Это эффект Данинга-Крюгера, думать, что "да херня, я разобрался и нормально, планы выполнял". Да, именно поэтому дата-сатанистов учат матану и алгоритмам пять лет, потому что "а мужики-то не знают, что Гуглом можно пользоваться".
Да, если если врать и притворяться, то можно, создав ауру успеха, хоть Гербалайф продавать, хоть пылесосы Кирби, хоть себя на рынке. Это работает. Никто не спорит, что успех нельзя построить на лжи. Но это не значит, что социальные институты предусматривают такой подход как верный.
В играх читеров не любят. Хотя что мешает всем читы вводить и бегать? Может быть не всем нравится читерить? Почему все нормальные инженеры, которых автор лихо обскакал на коне из папье-маше, достойны меньшего, почему автор занимал их места? Потому что "ну, они тоже могли так действовать, кто же им мешал"? Или "если не я, то на это место пришёл бы другой ушлый пройдоха, так чего мне зря возможность терять"? Потому что не все хотят себя так паскудно вести. Есть понятие общественного договора, какие-то правила поведения, не прописанные в КоАП или ГК/УК. Например, портить воздух в лифте — нельзя, хотя закон не запрещает. Например, заглядывать в окна на первых этажах, или подглядывать в бинокль — тоже не одобряется социумом.
Первым покидать тонущий корабль, расталкивая всех локтями с криком "мне семью кормить" — не запрещается законом, конечно.
Я бы и диагноз поставил, потому что имея такую психопатологию, в виде поверхностного восприятия моральных ценностей, чувств, и не иметь какой-нибудь девиации поведения при этом — невозможно, потому что прям по Скиннеру, такая девиация будет получать положительное подкрепление оперантного обуславливания. Например, девушка с низкой социальной ответственностью, имея патологию не позволяющую испытывать привязанность к одному партнёру, будет иметь девиацию в виде частой смены партнёров, а получив положительное подкрепление (деньги), сочтёт, что прочла код успеха этой жизни и пойдёт писать книгу "продавай себя пока покупают" с откровениями "девочки, за это же платят! Что вы без денег-то все сидите!". Но это вовсе не значит, что все вокруг такие же)
Деньги, несомненно, играют важную роль в жизни. Иногда они могут выходить на первое место, в периоды кризисов, беды, когда от них зависит нижний, базовый уровень по Маслоу. Но, всегда, в других случаях, это не главное. Иногда даже не в десятке. Есть вещи, которые не купить за деньги.
Очень странно видеть тут людей, которые поддерживают методы автора, надеюсь, что они просто ещё не подумали, какая цена успеха и оправдывает ли цель средства.
Очень отрадно видеть хоть редкие, и, судя по плюсам, не такие популярные мнения, что автор глубоко не прав — моё почтение.
При таких вводных — разумеется, покупать оперативную память не стоит. Мне казалось, мы рассматриваем кейс с более-менее регулярным использованием swap. Даже скажем "с перманентным".
Но ведь у вас главная претензия была к прибитой вкладке хрома. Хром же в юзер-спейс запускается. Исходя из данных, которые от вас поступают, что со swap, что без, его бы oom-killer прибил, если в юзер-спейс место закончится, верно?
Не сумеет, я тоже не разбираюсь, поэтому и спросил) Не я же статью писал.
Я правильно понимаю, исходя из вашего замечания, что юзер-спейс не свапится, и поэтому не имеет отношения к публикации?
Давайте заново, а то я чувствую что вы обижаетесь. Вы проделали хорошую работу, написали статью, чтобы людям было понятнее, меньше ошибок совершали, больше разбирались в ИТ. Вы — молодец, и я ни в коем случае не хотел обесценить ваш труд. Вопрос управления памятью в линуксе ни разу не тривиален, и время от времени всплывают научные публикации на эту тему: https://opus4.kobv.de/opus4-fau/frontdoor/index/index/docId/8340
и даже целые книги: https://repo.zenk-security.com/Forensic/The%20Art%20of%20Memory%20Forensics%20-%20Detecting%20Malware%20and%20Threats%20in%20Windows,%20Linux,%20and%20Mac%20Memory%20(2014).pdf
Тем не менее, вам правильно замечают коллеги, что эксперимент RAM+SWAP честно было бы сравнивать с RAM+RAM. И тогда все иллюзии по поводу необходимости SWAP на диске исчезнут. Тем более, что мы живём во время активного развития DCPM, когда границы RAM и дисковой подсистемы уже довольно размыты.
Я бы почитал структурированную статью о современных алгоритмах выделения памяти в зависимости от функции процесса, которому она выделяется. А то в интернете везде кусками — где-то про мьютексную аллокацию, где-то про slabinfo, где-то про iomem, а так чтобы всё вместе и без воды — нигде нет.
Сначала у меня бомбануло, но вижу, что уже задают автору правильные вопросы. Совершенно согласен. Или можно наоборот, пусть автор выделит кусок оперативы для swap, и будет быстро и безопасно. Мы просто не маемся дурью и пропускаем эти брачные танцы со swap в RAM, а предпочитаем использовать всю, но следить за утилизацией. Сразу видно кто не кодил на Си)
А ООМ киллер, убивший вкладку хрома — крайне специфичный кейс, поскольку киллер не всё подряд убивает, а по рейтингу, который он составляет исходя из user time процесса, cpu time и прочего.
К тому же, память иначе выделяется, где же кучи, чанки, арены? Причём одна арена обслуживается одним cpu потоком. И т.д.
https://sourceware.org/glibc/wiki/MallocInternals
Это ответ на вопрос "зачем нужен рейд", я его не задавал)
О, наконец-то я получу ответ — зачем люди используют рейд-контроллер вместе с NVMe. Зачем?
Надеюсь, у вас всё получится. Жалко когда честную работу сливают по надуманным поводам. Зато крупнейшее русскоговорящее ИТ-коммьюнити оценило, это тоже чего-то стоит.
Ну, это какая-то борода. Напишите в FB, что вы не исследовали функционал безопасности первичной аутентификации, а ваша работа относится к багу функционала возврата прежних значений email и номера телефона. Это пертинентно только для случая когда угон аккаунта уже произошёл, и злоумышленник поменял эти значения.
Жлобьё, зла не хватает.
По метафоре: вы нашли багу в катапульте, которая делает катапультирование пилота самолёта невозможной. А они говорят "ну, чтобы катапультирование произошло, нужно сильно ушатать самолёт, а входной барьер для этого высокий". Не надо подменять понятия. Пусть отрабатывают по найденной уязвимости, конкретного механизма. Если такие умные, пусть убирают этот функционал, ведь чтобы им воспользоваться, надо потерять контроль над аккаунтом, а входной барьер для этого очень высок.
А как повторить, чтобы при одинаковых размерах блока и характерах трафика, получить на порядок отличающиеся задержки, а скорость передачи примерно одинаковую? Я кроме как "ставить на порядок большую паузу между запросами (!) с нагрузочной машины" не придумал ничего.