web-based означало и означает то, что все настройки можно делать в web-интерфейсе, который предоставляет роутер по lan, а не в консоли.
icmp flood defense есть. при чем, неотключаемый. можно лишь в каких-то пределах менять его параметры - что считать спамом.
виноват, конечно же, роутер. полагаю, ситуацию описал достаточно подробно, но почему-то, вопрашающие сути проблемы не увидели.
еще раз коротенько: пров подключен через vpn. для такого рода подключений требуется вводить логин/пароль. более того, соединение может разрываться роутером по каким-то причинам, в отличие от подключения по статическому или динамическому адресу. список типов подключений посмотрите в любом своем роутете на wan порту. я не буду об этом.
по итогу, роутер видит слишком много icmp ответов для алисы и начинает эти пакеты ставить в блок. при этом, согласно тому icmp defence, ip адрес попадает во временный бан. только ввиду vpn в бан попадает не адрес спаммера, а адрес vpn прова. ну потому что icmp ответ упакован в pptp пакет и ввиду ошибки в прошивке роутера (полагаю), он берет ip адрес pptp пакета, а не icmp. в результате, инет рвется и через какое-то время восстанавливается(бан -временный). и все по новой.
лог зас.ан ворнингами о блокировке icmp пакетов. что вы там еще хотите увидеть?
ну, владельцу хочется иметь алису и тут его никто не переубедит. а ей нужен инет для полноценной работы.
очевидно, вы невнимательно читали статью. проблема не в стенке.
проблема в ошибке прошивки конкретной модели роутера, которая ставит в бан ip адрес vpn провайдера, вместо ip источника. при этом, рвется весь интернет. сигналом к такому действию служит icmp ответы на запросы алисы, точнее их количество.
сами по себе ответы страшны только тем, что загаживают лог роутера ворнингами. и до нужного вы можете тупо не добраться ввиду их объема лишних данных.
вместе с тем, цепочка разных косяков приводит к успешной ddos атаке по icmp. условия ее получения я достаточно подробно описал в статье. перечитайте.
ну, поковыряйте. мож интересное, что найдете - кого она так спамит и зачем.
я посадил ее в dhcp на статичный ip по маку и запретил icmp запросы с этого ip в инет. этого хватило. что там с алисой - не знаю, но пока- не возмущаются😆
да, я тоже считаю это какой-то баг, а не целенаправленная вредительская деятельность. возможно, какая-то старая прошивка, потому как стараются продать, прежде всего, хлам.
как бы, опрос ресурсов в инете - это обычная тема. просто не надо делать это слишком часто😄
Было это где-то между 98 и 2000 годом. Делали мы банк-клиента. Он должен был по pop3 лезть в почту, выгребать письма с определенным заголовком, проверять эп в аттаче и как-то там реагировать. Ну, частоту проверки задали настройкой в файле.
И вот, тестер, который готовил релиз, посчитал хорошей идеей занулить все настройки для релиза. Ну и начал тестировать, что получилось, на mail.ru. А у тех в то время еще не было кластеров и балансировки. Короче, звонят из mail.ru на контору через 5 минут (вычислили по домену, с которого идут запросы) и жалобно просят прекратить сие безобразие, потому как нагнулся сервис авторизации на сайте, который как-то был связан с почтовым сервисом (их сайт- это просто морда к почтовому сервису).
Но так мы это на тесте поймали. А вот друзья из яндекса безответственно относятся к своим игрушкам.
ну, строго говоря, хозяин сети (и это не я) воткнул во внутреннюю доверенную сеть алису и никого не спросил. подхватилось оно по dhcp и wi-fi, пароль от которого у хозяина тоже был.
т.о. возникшие впоследствии проблемы с инетом никто и не подумал связать с алисой.
изучать это дело - тоже муторно в данной конфигурации. потому как рабочая сеть и провайдер оборачивает все в pptp, с коими внутренностями сейчас разбираться недосуг.
сейчас ей зафиксировал ip по маку. и теперь можно и трафик резать и все прочее. но пока, вроде, норм. на инет перестали жаловаться.
когда белый ip убрали, на "сером ip" тоже были проблемы, т.е. извне прилететь ничего не могло.
на lte, тоже было (вероятно), проверю, как доберусь до места. источник-то проблем никуда не делся, оно просто заблокировано правилом не пущать icmp запросы в инет
зачем сделали icmp протокол? затем, что в ip протоколе нет сообщений об ошибках его работы. т.о. основная функция icmp протокола - сообщать об ошибках в работе с ip пакетами.
далее, icp и udp упакованы в ip пакеты. какой смысл заниматься их доставкой, если в работе ip протокола обнаружены ошибки?
icmp протокол может, например, сообщить отправителю сообщение об подавлении источника данных. это означает просьбу снизить количество отправляемых пакетов. и просьба пойдет в сторону роутера, потому как исходный отправитель icmp пакетов далеко не всегда ожидает такие пакеты.
очевидно, что такую просьбу надо рассмотреть как можно раньше, а не пытаться все tcp/udp пакеты скоренько закинуть в цель. они в этом случае все-равно не будут обработаны.
т.о. приоритет icmp пакета основан на необходимости создания полной картины работы на уровне ip. и уж потом идет работа по распаковке/запаковке tcp/udp и их обработке.
То, что в линухе сделали приоритет icmp сообщений обычным, ничего не означает. По вашей ссылке находятся куча желающих повысить приоритет обработки icmp сообщений. И, наверное, не просто так.
Т.о. имеет смысл вести речь о настроенном роутере, а не в поставке "из коробки".
привел бы ссылку из книги по tcp/ip, но чет картинки не загружаются
Может быть, я не точно выразился. Возможно, существуют протоколы с более высоким приоритетом обработки пакетов. Но это все служебные протоколы роутера. И здесь речь не об этом.
Нужно говорить о том, что приоритет обработки icmp пакета выше, чем у обычного tcp или udp пакета. Т.о. пока роутер не отработает все служебные пакеты в очереди (в т.ч. icmp), он.не будет обрабатывать ни tcp, ни udp.
Например, тот же pptp использует канал управления через tcp на порту 1723. Т.о. в нашем случае управление каналом pptp будет блокировано.
По-факту, эти измышления подтверждаются тем, что перестает работать web-морда со стороны lan (которая тоже ходит по tcp), ну и сам инет, если разрешить роутеру обрабатывать примерно 30 тыс. icmp запросов. Наш конкретно столько не тянет. И работоспособность восстанавливается спустя время, если на время выдернуть wan.
белый список в роутере используется только для lan-клиентов. Для wan-клиентов есть какой-то внутренний бан (конкретно на этом роутере), который не доступен из интерфейса пользователя.
Ну, это же не циска, где можно че хошь настроить. Просто web-based vpn- роутер.
Во что вы не верите? В то, что конкретно эта Алиса вызывает шквал icmp ответов?
Тут ситуация такая, что даже видео вам не поможет разобраться. Ведь надо будет вникать в детали сетевых настроек. А кто их вам будет показывать?
Конечно, в посте присутствует некий субъективизм понимания работы алгоритмов файрвола конкретного роутера.
Однако, что было точно выяснено: при изменении настроек спама icmp в 30 тыс./сек пакетов - роутер через некоторое время переставал отвечать со стороны lan. это проявлялось как в отсутствии ответов на ping локального шлюза, так и невозможности выйти в web-интерфейс из lan. И при отключении wan ситуация исправлялась через несколько минут без перезагрузки роутера.
Понятно, что я эти пакеты руками не подсчитывал. Но напрашивается единственное объяснение - роутер сформировал очередь из запросов/ответов, не успевал их обрабатывать и в логе детектировал спам. ну и спам-настройка указывает конкретное значение. Мне надо было с ним поспорить?😅😂 За что купил, за то и продаю.
Надо ставить whireshark и смотреть. Ну, допустим, какой-то свой облачный сервис-кластер. Файрвол рубит ей какие-то пакеты, она это замечает и начинает пытаться работать интенсивнее. Но это все мои домыслы.
По-факту, отыскание "почему" - работа нудная и никем не оплачиваемая. Пусть этим яндекс занимается😌
Еще одно измерение (помимо пространства и времени) - представить не сложно. Это компьютерная симуляция. Представьте, что некий ИИ живет в компьютере и там есть свой город, где он может перемещаться. Фактически, этот ИИ будет жить в том же пространстве, у него будет ваше время и, дополнительно, у него будет еще одна степень свободы - перемещение в его виртуальном мире.
Мы видим, что этот ИИ не может существовать только в измерениях времени+ виртуальном измерении. Если его сделали мы, то прежде всего, он должен существовать в нашем пространстве(компьютер) и времени и уж потом может появиться еще какое-то измерение.
Если же говорить о двумерном времени, то не уверен, что такое возможно. Поскольку мы привыкли считать время одномерным.
Вместе с тем, в фантастике есть такое понятие, как компрессия времени. Например, при обучении в капсуле. Т.е. для человека субъективно проходит гораздо больше времени, чем на самом деле.
Допустим, вам надо прочитать толстую книгу. В обычном времени вы ее вдумчиво прочитаете, ну, скажем за 3 дня. С компрессией времени - это станет возможным в несколько раз быстрее.
ну такой стиль изложения у меня. это вас как-то напрягает? или вы считаете, что для публикаций нужен минимум язык лукьяненко?
web-based означало и означает то, что все настройки можно делать в web-интерфейсе, который предоставляет роутер по lan, а не в консоли.
icmp flood defense есть. при чем, неотключаемый. можно лишь в каких-то пределах менять его параметры - что считать спамом.
виноват, конечно же, роутер. полагаю, ситуацию описал достаточно подробно, но почему-то, вопрашающие сути проблемы не увидели.
еще раз коротенько: пров подключен через vpn. для такого рода подключений требуется вводить логин/пароль. более того, соединение может разрываться роутером по каким-то причинам, в отличие от подключения по статическому или динамическому адресу. список типов подключений посмотрите в любом своем роутете на wan порту. я не буду об этом.
по итогу, роутер видит слишком много icmp ответов для алисы и начинает эти пакеты ставить в блок. при этом, согласно тому icmp defence, ip адрес попадает во временный бан. только ввиду vpn в бан попадает не адрес спаммера, а адрес vpn прова. ну потому что icmp ответ упакован в pptp пакет и ввиду ошибки в прошивке роутера (полагаю), он берет ip адрес pptp пакета, а не icmp. в результате, инет рвется и через какое-то время восстанавливается(бан -временный). и все по новой.
лог зас.ан ворнингами о блокировке icmp пакетов. что вы там еще хотите увидеть?
ну, владельцу хочется иметь алису и тут его никто не переубедит. а ей нужен инет для полноценной работы.
очевидно, вы невнимательно читали статью. проблема не в стенке.
проблема в ошибке прошивки конкретной модели роутера, которая ставит в бан ip адрес vpn провайдера, вместо ip источника. при этом, рвется весь интернет. сигналом к такому действию служит icmp ответы на запросы алисы, точнее их количество.
сами по себе ответы страшны только тем, что загаживают лог роутера ворнингами. и до нужного вы можете тупо не добраться ввиду их объема лишних данных.
вместе с тем, цепочка разных косяков приводит к успешной ddos атаке по icmp. условия ее получения я достаточно подробно описал в статье. перечитайте.
во-во, оно.
проблем не наблюдается - это потому, что у вас, видимо, пров не по vpn подключен. просто какой-нить динамический адрес с dhcp.
в моем роутере, видимо, ошибка в ПО. он банит vpn провайдера, а не адрес спаммера.
Возможно, у вас другой тип роутера или иная прошивка.
кроме того, лог загаживается конкретно.
мне vk уже полгода явный баг исправляет😂 думаю, в тындексе - та же история
в роутере видна как yandex-mini2. саму алису не ковырял, не знаю. вероятно, что-то дешевое
А почему нет? Вроде, интересная история
нужен vpn роутер (vpn server). порекомендуете за вменяемые деньги?
стоит TL-ER6120. в принципе, справляется. из минусов - ниче не видно, что на wan творится, все сам.
ну, поковыряйте. мож интересное, что найдете - кого она так спамит и зачем.
я посадил ее в dhcp на статичный ip по маку и запретил icmp запросы с этого ip в инет. этого хватило. что там с алисой - не знаю, но пока- не возмущаются😆
надо pptp протокол ковырять, чтобы долезть до icmp. пров все гонит через vpn.
вот кабы яндекс сделал программу bugbounty, то была бы интересная история. а так - только если есть свободное время. но его пока не наблюдается
да, я тоже считаю это какой-то баг, а не целенаправленная вредительская деятельность. возможно, какая-то старая прошивка, потому как стараются продать, прежде всего, хлам.
как бы, опрос ресурсов в инете - это обычная тема. просто не надо делать это слишком часто😄
Было это где-то между 98 и 2000 годом. Делали мы банк-клиента. Он должен был по pop3 лезть в почту, выгребать письма с определенным заголовком, проверять эп в аттаче и как-то там реагировать. Ну, частоту проверки задали настройкой в файле.
И вот, тестер, который готовил релиз, посчитал хорошей идеей занулить все настройки для релиза. Ну и начал тестировать, что получилось, на mail.ru. А у тех в то время еще не было кластеров и балансировки. Короче, звонят из mail.ru на контору через 5 минут (вычислили по домену, с которого идут запросы) и жалобно просят прекратить сие безобразие, потому как нагнулся сервис авторизации на сайте, который как-то был связан с почтовым сервисом (их сайт- это просто морда к почтовому сервису).
Но так мы это на тесте поймали. А вот друзья из яндекса безответственно относятся к своим игрушкам.
ну, строго говоря, хозяин сети (и это не я) воткнул во внутреннюю доверенную сеть алису и никого не спросил. подхватилось оно по dhcp и wi-fi, пароль от которого у хозяина тоже был.
т.о. возникшие впоследствии проблемы с инетом никто и не подумал связать с алисой.
изучать это дело - тоже муторно в данной конфигурации. потому как рабочая сеть и провайдер оборачивает все в pptp, с коими внутренностями сейчас разбираться недосуг.
сейчас ей зафиксировал ip по маку. и теперь можно и трафик резать и все прочее. но пока, вроде, норм. на инет перестали жаловаться.
когда белый ip убрали, на "сером ip" тоже были проблемы, т.е. извне прилететь ничего не могло.
на lte, тоже было (вероятно), проверю, как доберусь до места. источник-то проблем никуда не делся, оно просто заблокировано правилом не пущать icmp запросы в инет
извольте, tl-er6120
логику надо тоже включать в голове.
зачем сделали icmp протокол? затем, что в ip протоколе нет сообщений об ошибках его работы. т.о. основная функция icmp протокола - сообщать об ошибках в работе с ip пакетами.
далее, icp и udp упакованы в ip пакеты. какой смысл заниматься их доставкой, если в работе ip протокола обнаружены ошибки?
icmp протокол может, например, сообщить отправителю сообщение об подавлении источника данных. это означает просьбу снизить количество отправляемых пакетов. и просьба пойдет в сторону роутера, потому как исходный отправитель icmp пакетов далеко не всегда ожидает такие пакеты.
очевидно, что такую просьбу надо рассмотреть как можно раньше, а не пытаться все tcp/udp пакеты скоренько закинуть в цель. они в этом случае все-равно не будут обработаны.
т.о. приоритет icmp пакета основан на необходимости создания полной картины работы на уровне ip. и уж потом идет работа по распаковке/запаковке tcp/udp и их обработке.
То, что в линухе сделали приоритет icmp сообщений обычным, ничего не означает. По вашей ссылке находятся куча желающих повысить приоритет обработки icmp сообщений. И, наверное, не просто так.
Т.о. имеет смысл вести речь о настроенном роутере, а не в поставке "из коробки".
Может быть, я не точно выразился. Возможно, существуют протоколы с более высоким приоритетом обработки пакетов. Но это все служебные протоколы роутера. И здесь речь не об этом.
Нужно говорить о том, что приоритет обработки icmp пакета выше, чем у обычного tcp или udp пакета. Т.о. пока роутер не отработает все служебные пакеты в очереди (в т.ч. icmp), он.не будет обрабатывать ни tcp, ни udp.
Например, тот же pptp использует канал управления через tcp на порту 1723. Т.о. в нашем случае управление каналом pptp будет блокировано.
По-факту, эти измышления подтверждаются тем, что перестает работать web-морда со стороны lan (которая тоже ходит по tcp), ну и сам инет, если разрешить роутеру обрабатывать примерно 30 тыс. icmp запросов. Наш конкретно столько не тянет. И работоспособность восстанавливается спустя время, если на время выдернуть wan.
белый список в роутере используется только для lan-клиентов. Для wan-клиентов есть какой-то внутренний бан (конкретно на этом роутере), который не доступен из интерфейса пользователя.
Ну, это же не циска, где можно че хошь настроить. Просто web-based vpn- роутер.
Во что вы не верите? В то, что конкретно эта Алиса вызывает шквал icmp ответов?
Тут ситуация такая, что даже видео вам не поможет разобраться. Ведь надо будет вникать в детали сетевых настроек. А кто их вам будет показывать?
Конечно, в посте присутствует некий субъективизм понимания работы алгоритмов файрвола конкретного роутера.
Однако, что было точно выяснено: при изменении настроек спама icmp в 30 тыс./сек пакетов - роутер через некоторое время переставал отвечать со стороны lan. это проявлялось как в отсутствии ответов на ping локального шлюза, так и невозможности выйти в web-интерфейс из lan. И при отключении wan ситуация исправлялась через несколько минут без перезагрузки роутера.
Понятно, что я эти пакеты руками не подсчитывал. Но напрашивается единственное объяснение - роутер сформировал очередь из запросов/ответов, не успевал их обрабатывать и в логе детектировал спам. ну и спам-настройка указывает конкретное значение. Мне надо было с ним поспорить?😅😂 За что купил, за то и продаю.
Надо ставить whireshark и смотреть. Ну, допустим, какой-то свой облачный сервис-кластер. Файрвол рубит ей какие-то пакеты, она это замечает и начинает пытаться работать интенсивнее. Но это все мои домыслы.
По-факту, отыскание "почему" - работа нудная и никем не оплачиваемая. Пусть этим яндекс занимается😌
Еще одно измерение (помимо пространства и времени) - представить не сложно. Это компьютерная симуляция. Представьте, что некий ИИ живет в компьютере и там есть свой город, где он может перемещаться. Фактически, этот ИИ будет жить в том же пространстве, у него будет ваше время и, дополнительно, у него будет еще одна степень свободы - перемещение в его виртуальном мире.
Мы видим, что этот ИИ не может существовать только в измерениях времени+ виртуальном измерении. Если его сделали мы, то прежде всего, он должен существовать в нашем пространстве(компьютер) и времени и уж потом может появиться еще какое-то измерение.
Если же говорить о двумерном времени, то не уверен, что такое возможно. Поскольку мы привыкли считать время одномерным.
Вместе с тем, в фантастике есть такое понятие, как компрессия времени. Например, при обучении в капсуле. Т.е. для человека субъективно проходит гораздо больше времени, чем на самом деле.
Допустим, вам надо прочитать толстую книгу. В обычном времени вы ее вдумчиво прочитаете, ну, скажем за 3 дня. С компрессией времени - это станет возможным в несколько раз быстрее.