Теперь понял. Вклиниваемся в кабель клиента, его трафик роутим через себя, а сами при этом также пользуемся его каналом. Но, при использовании туннелей, хоть PPTP, хоть PPPoE, не намного сложнее провести аналлогичную атаку. Аутентификация PAP тупо перехватывается, CHAP немного сложнее, но тоже особых проблем не будет.
В случае использования IPoE, как врезавшийся в кабель клиента злоумышленник сможет сосать трафик без ведома самого клиента? На порту VLAN, на VLAN роутится один единственный IP. Два хоста с одинаковым IP в одной сети, работать будет только один. Или тут есть что-то, чего я не учитываю? Если еще и MAC себе поставить клиентский, то опять же одновременно корректно работать они не смогут.
Не могу рассказывать, что и как у меня на текущем месте работы, но вообще приходилось работать и с ~4000 интерфейсов в продакшене и с ~10000 с Q-in-Q в тесте.
Ну это зависит от количества пользователей. Сотня пользователей в одном бродкаст-домене (L2) — ничего особо страшного. Тысяча — катастрофа, одним бродкаст-пингом можно положить всю сеть. Конечно, активное сетевое оборудование может бороться с штормами, но не стоит делать большие бродкаст-домены, полагаясь только на эту защиту.
Смотря что считать извращением :)
Если Client-VLAN, то для того, чтобы не использовать привязки по MAC.
Если DHCP Option82, то для того, чтобы автоматически выдавать настройки абонентам.
mmx включить стоит. А если есть интерес, то потестить с отключенным mmx и с включенным. Только нужно выбрать ПО, которое mmx активно использует.
-mfpmath=sse заставляет GCC для вычислений с плавающей точкой генерировать инструкции sse.
Это вся заметка. А что можно написать в продолжении? :)
Использование модуля максимально простое: iptables -A FORWARD -m opendpi --protocol -j DROP
Подставить --protocol из списка iptables -m opendpi --help и все.
Параметр InterruptThrottleRate (если значение >100) задает количество прерываний, генерируемых в секунду. Эффект аналогичен заданию значений rx-usecs tx-usecs утилитой ethtool, что является более гибким вариантом, поэтому этот параметр e1000 не описывал. Задержки между прерываниями позволяют снизить нагрузку за счет увеличения задержек обработки трафика. Я рекомендую снижать их как можно сильнее, вплоть до ноля, пока нагрузка в часы пик будет в пределах нормы. Соответственно параметр InterruptThrottleRate повышать, пока нагрузка в пределах нормы.
dev lo, конечно же.Если Client-VLAN, то для того, чтобы не использовать привязки по MAC.
Если DHCP Option82, то для того, чтобы автоматически выдавать настройки абонентам.
-mfpmath=sse заставляет GCC для вычислений с плавающей точкой генерировать инструкции sse.
Использование модуля максимально простое:
iptables -A FORWARD -m opendpi --protocol -j DROPПодставить --protocol из списка
iptables -m opendpi --helpи все.