forum.opennet.ru

Составление сообщения

Исходное сообщение

"Релиз дистрибутива для создания межсетевых экранов pfSense 2..."
Отправлено пох, 14-Окт-17 11:30

> Есть несколько способов защититься от этого:
ну есть много костыликов и подпорочек, ага. А надежных способов - кроме дорогущих ng-firewall'ов что-то не просматривается.
то что вы называете файрволом, а на самом деле является пакетным фильтром (какие еще "state" в udp, вы о чем?) не защитит от банального потока фейковых udp пакетов на ваш любимый 5060 - надо только подобрать ip, которому вы уже открыли ротик, жрать все что прилетит, дальше - от вмешательства в связь, до remote code exec (продукция телефонистов такая "надежная", аж слезы). Рандомизация портов делает эту и схожие (поскольку кроме единственного освоенного вами, есть еще мильен с тыщами udp-based протоколов) дырки более-менее прикрытыми, потому что идея подбирать одновременно и адреса и порты увеличивает требуемый поток в десятки тысяч раз, сильно усложняя задачку. Разумеется, это тоже костылик, и предназначено оно для нище...мелких клиентов, неспособных оплатить коммерческие решения (потому что открытых, увы, не будет)
При этом большая часть того мильена с тыщами написана уже в XXI веке, когда, наконец-то, догадались, что существуют наты и другие обстоятельства, и не надо совать внутрь протокола адреса endpoint'ов, а надо брать их либо из адреса в приходящем пакете, либо с внешнего источника. А в (распространенной) телефонии все переизобретают ftp, только еще и поверх connectionless-протоколов.
А потом - тут поломали, там таджик-телеком завелся, и речь не о наколеночных поделках на полтора абонента, а об операторах, у которых, в теории, должен быть и грамотный персонал, и хорошее железо.
> Там всё сложно потому что сама задача сложна.
потому что неверно поставлена. Вам на самом деле нужны вовсе не p2p и "минимальные задержки" - это уже решение, неправильно поставленной задачи. Вам нужны _приемлемые_ задержки - пока вы вообще можете их сохранить приемлемыми (разговор со штатами все равно не будет таким же как с соседней комнатой) и низкий уровень джиттера (я уж не говорю про потери, которых тоже только у розовых единорогов в сетях нет) - что вовсе необязательно достигается прямым соединением всех со всеми. Просто "тут так принято" и вряд ли изменится в ближайшие сто лет, после попадания скайпа в руки индусов.

Исходное сообщение
"Релиз дистрибутива для создания межсетевых экранов pfSense 2..." Отправлено пох, 14-Окт-17 11:30
> Есть несколько способов защититься от этого: ну есть много костыликов и подпорочек, ага. А надежных способов - кроме дорогущих ng-firewall'ов что-то не просматривается. то что вы называете файрволом, а на самом деле является пакетным фильтром (какие еще "state" в udp, вы о чем?) не защитит от банального потока фейковых udp пакетов на ваш любимый 5060 - надо только подобрать ip, которому вы уже открыли ротик, жрать все что прилетит, дальше - от вмешательства в связь, до remote code exec (продукция телефонистов такая "надежная", аж слезы). Рандомизация портов делает эту и схожие (поскольку кроме единственного освоенного вами, есть еще мильен с тыщами udp-based протоколов) дырки более-менее прикрытыми, потому что идея подбирать одновременно и адреса и порты увеличивает требуемый поток в десятки тысяч раз, сильно усложняя задачку. Разумеется, это тоже костылик, и предназначено оно для нище...мелких клиентов, неспособных оплатить коммерческие решения (потому что открытых, увы, не будет) При этом большая часть того мильена с тыщами написана уже в XXI веке, когда, наконец-то, догадались, что существуют наты и другие обстоятельства, и не надо совать внутрь протокола адреса endpoint'ов, а надо брать их либо из адреса в приходящем пакете, либо с внешнего источника. А в (распространенной) телефонии все переизобретают ftp, только еще и поверх connectionless-протоколов. А потом - тут поломали, там таджик-телеком завелся, и речь не о наколеночных поделках на полтора абонента, а об операторах, у которых, в теории, должен быть и грамотный персонал, и хорошее железо. > Там всё сложно потому что сама задача сложна. потому что неверно поставлена. Вам на самом деле нужны вовсе не p2p и "минимальные задержки" - это уже решение, неправильно поставленной задачи. Вам нужны _приемлемые_ задержки - пока вы вообще можете их сохранить приемлемыми (разговор со штатами все равно не будет таким же как с соседней комнатой) и низкий уровень джиттера (я уж не говорю про потери, которых тоже только у розовых единорогов в сетях нет) - что вовсе необязательно достигается прямым соединением всех со всеми. Просто "тут так принято" и вряд ли изменится в ближайшие сто лет, после попадания скайпа в руки индусов.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру