Однако если делать трейс (команду mtr) видны потери на первом хопе порядка 80%.Если при этом на последнем хопе нет "потерь", если рабочий трафик обрабатывается нормально (без потерь пакетов), то не думаю, что это вообще проблема, скорее косметический нюанс.
С какой стороны начинать копать?Не являюсь знатоком сетевой подсистемы Linux, но предположу, что имеет место ограничение ICMP-трафика, сгенерированного хостом. Проверьте параметры ядра:
/proc/sys/net/ipv4/icmp_ratelimit
/proc/sys/net/ipv4/icmp_ratemask
/proc/sys/net/ipv4/icmp_msgs_per_sec
/proc/sys/net/ipv4/icmp_msgs_burstВ случае с HDD удаление информации с диска достаточно просто - сильный электро-магнитный импульс.Не уверен в корректности вашего высказывания. На практике пробовали? Слишком сильный (высокоэнергетический) импульс может привести к выводу из строя радиоэлектронных компонент, я не вполне понимаю. На мой взгляд, проще и надежнее переписать весь диск произвольными данными (может быть, несколько раз, с учетом микроскопических ошибок позиционирования головок).
Как гарантированно удалить всю информацию с неисправного SSD?Гарантировать вам ничего не берусь, попробуйте воспользоваться рентгеновской трубкой. Запишите тестовый файл большого объема на диск, после экспонирования сравните контрольные суммы (не только crc, но и md5/sha). В случае успеха (контрольные суммы различаются) повторите с тем, чтобы каждый чип флэш-памяти оказался облучен.
Подскажите в какую сторону копать? Метрики?Да, метрики, большие для резервных маршрутов.
route add 192.168.102.0 mask 255.255.255.0 192.168.3.2 metric 1
route add 192.168.103.0 mask 255.255.255.0 192.168.3.2 metric 1route add 192.168.102.0 mask 255.255.255.0 192.168.1.1 metric 100
route add 192.168.103.0 mask 255.255.255.0 192.168.1.1 metric 100Пакеты, адресованные «наружу» должны уходить через GW.Здесь можно поступить так. На linux-сервере (на картинке по центру) поднять loopback-интерфейс. На двух остальных машинах прописать маршруты по умолчанию через него. На них же - по два маршрута непосредственно до него (основной и резервный). На основном linux-сервере прописать маршрут по умолчанию в интернет.
Как же установить тип кадра Ethernet II на windows 7 ?Можете уточнить модель сетевого адаптера, название приложения и текст ошибки?
Без него одно приложение отказывается работать...
вот я хочу узнать, что же ждать от него?На мой взгляд, представляется конструктивным выделить функциональность, которая потребуется от устройства в рабочем режиме (в "продакшене") и затем каждый пункт протестировать отдельно. В частности, стоит проверить работу xSTP и его нюансов (BPDU guard и т.д.), ARP Inspection, фильтрации по MAC-адресам, ограничения широковещательного/многоадресного трафика (storm control), DHCP snooping, IGMP (если планируется использовать). Для этого может потребоваться собрать тестовый стенд и сгенерировать необходимый трафик (под linux рекомендую scapy для формирования специфичных пакетов/фреймов и hping для генерации интенсивного трафика).
Возможно ли обратить SHA-256?В общем случае это называется preimage-атакой. В таблице по ссылке указаны примерные оценки вычислительной сложности проведения подобных атак. Сложность порядка 2^128, насколько мне известно, считается достаточной для того, чтобы полагать атаку непрактичной.
можно ли найти серийник?Если вы обладаете каким-либо знанием о структуре серийного номера, позволяющем вам на порядки (до значений, делающих атаку практичной) сократить мощность множества возможных вариантов, то логично попытаться реализовать атаку грубой силы (brute force).
сколько серийников может быть у одного хэша SHA-256?В вашем случае, думаю, разумно предполагать соответствие от 0 до 1 серийных номеров произвольному хэшу.
можно ли без шифрования данных, т.е. полностью отбросив любые компьютеры, алу, всякие плюшки и т.п. а взяв чисто сетевое устройство промодулировать сигнал таким образом чтобы помимо самих данных он выстраивал их в алгоритме который могла бы распознавать второе сетевое устройство?А в сетевом устройстве, по-вашему, нет "компьютера, алу, всяких плюшек"?
Например если взять обычное радио - там FM, полезные данные получаются за счет изменения частоты, а если например скомбинировать его с AM/PWM (к примеру) которые будут выстраивать идентификационную информацию об отправителе и будут подчиняться определенному алгоритму, так что только второе сетевое устройство сможет их распознать?Если вас интересует низкоуровневая реализация чего-то подобного, то посмотрите в сторону ППРЧ (Frequency-hopping spread spectrum, FHSS) и параллельных технологий (Time-hopping spread spectrum, Direct sequence spread spectrum).
Тогда устройство точно может быть уверен что пакет не подменен.Я понимаю, что ваш вопрос скорее теоретический, но если гипотетической задачей является защита от подмены данных, то, на мой взгляд, гораздо продуктивнее воспользоваться одной из схем MAC.
Сумасшедшая идея, да?На мой взгляд, ваш вопрос, скорее, является следствием недостаточного владения предметом.
Так вот может есть подобные решения уже и я плохо искал?
Я имею ввиду систему позволяющую буквально программировать сеть, которая построена на разнородном оборудовании.
Почти добил Сетевую академию Cisco потом буду пробовать получить ССNA. Вопрос куда дальше ССNP, ССIE или развиваться в строну SDN?По поводу направления обучения - полагаю, что все эти волшебные SDN, с которыми ничего не делаешь, а все есть, это, конечно, замечательно, но база (routing&switching) для нормальной работы необходима, поэтому стоит сконцентрироваться на ней. Параллельно (но не в ущерб базе) - Linux/FreeBSD на уровне разворачивания и поддержки серверов мониторинга (nagios, cacti, zabbix), программирование на уровне элементарного скриптинга (предлагаю python, но тут на ваш вкус).
Конечно, скачать какую-нибудь программу с хакир.ру и нажать на кнопку особого ума не надо, но где они берут ботнет? Для меня это загадка. Это первый пунктик, который я не могу понять. Сами собирают? Это не быстро, не безопасно и не просто.Иногда бывает, что многие люди одновременно сами осознанно запускают "вредоносную" программу (см. hacktivism, loic и прочая), т.е. ботнет не нужен. Иногда бывает (amplification attacks), что достаточно десятков скомпроментированных серверов (у них пропускная способность выше), чтобы сгенерировать несколько гигабит/c трафика, которые затем многократно умножатся и придут к жертве.
Если уязвимость используют общедоступную, то она быстро трется.Не все уязвимости, используемый для организации DDoS-атак, так просто закрыть, в частности, из-за количества подверженных им устройств.
Вторая философская загадка кроится в том, что вроде как защита есть, можно запросы фильтровать, перенаправлять и вообще нагрузки на разные сервера распределять, но в то же время канал не резиновый все равно и при желании большими объемами трафика можно положить что угодно, даже фэйсбук, и куда после этого постить фотографии кота? Т.е. под большими объемами уязвимы все.Скажем так, чтобы к жертве пришло N гигабит/с трафика,их должен кто-то сгенерировать. Поэтому чем более сконцентрирована цель и чем более "распределен" атакующий, тем больше вероятность успешной атаки. И наоборот.
1. Как понять что тебя ддосят, если твой сервер лежит и не отвечает? мало ли что там может быть такого убаюкивающего для него. Как понять, что идет именно ддос?При помощи внятного заранее настроенного мониторинга. Необходимо заранее рассмотреть возможные варианты атаки, спрогнозировать (смоделировать) их влияние на оперативно отслеживаемые метрики (утилизация каналов в bps/pps, утилизация CPU, поведение веб-сервера или сервера приложений), иметь отдельную консоль (в смысле dashboard) со всему релевантными метриками, уметь их правильно истолковать.
2. Что можно сделать самому на сервере, чтобы максимально быть готовым к ддосу? Кроме правил iptables есть ли еще какие-то фичи?Разрешить только рабочий трафик, запретить весь остальной. Организовать out-of-band доступ к серверам/инфраструктуре. С моей точки зрения, стоит стремиться к тому, чтобы рабочий сервер мог в штатном режиме обработать трафик, утилизирующий всю его канальную емкость.
3. Законно ли перенаправлять атакующий трафик назад? С одной стороны, он сам нарвался же. С другой, зараженные сервера ботнета могут быть полезными, вдруг там порносайт какой, а я его ответным трафиком положу... Есть ли где-то инструкции или чтиво по теме отражения атак?По поводу законности подобных действий ничего не могу сказать, к тому же вы не указали юрисдикцию.
4. если я купил много прокси серверов и провожу ддос атаки на свой с целью проверить нагрузки и отказоустойчивость, это я тоже закон нарушил? Ботнет же, атаки во все поля....Опять же ничего не могу сказать касательно законности подобных действий. Намекну, если неизвестный аноним, соблюдая минимальные предосторожности, заказал двум-трем популярным DDoS-сервисам [тестовую] атаку на вашу инфраструктуру, то вы-то тут при чём?
5. Отслеживается ли вообще активность таких атак как-то по сети? Не зря же китайцы фаервол себе захерачили, наверное отслеживается? Почему тогда школьников не попересажали еще, вероятно, отслеживается плохо?Подобная активность, насколько мне известно, в основном отслеживается профильными организациями (например, Arbor networks). Касательно второго и третьего вопросов ничего не могу сказать.
6. Как ведут себя провайдеры? им проще клиента отключить, как я понимаю, верно? Но если ДНС прописаны на сервера хостинг провайдера, как его не выброси, атаки пойдут именно туда. Все равно придется фильтровать как-то... Как вообще борятся с атаками хостинги и провайдеры? Не сидят же они сложа руки?Если трафик до клиента представляет угрозу работоспособности хостинга в целом (например, вследствие чрезмерной утилизации аплинков), то трафик до него, как правило, блокируется (вручную при помощи ACL на оборудовании вышестоящего провайдера, при помощи BGP blackhole и т.д.). При наличии, может использоваться специализированное оборудование.
Ну и любые советы, книги, статьи по данному направлению приветствуются.
Особенно интересны методы защиты.
А то сплю плохо.Высыпайтесь.
он глюканул теперь у него на сетевухе мак 00:00:00:00:00, Cisco пакеты с таким маком дропаетВы проверяли (анализатором трафика или по записям в таблице MAC-адресов коммутатора, в который подключен ip-kvm), в Ethernet-фреймах от устройства Dlink именно этот адрес в качестве MAC-адреса источника?
IP-адрес начинающийся с 10.ххх.ххх..., действующий в рамках подсети провайдера. Я этот IP-адрес вводил в настройках подключенияЭто статический (вы однажды адрес указали сами, а не получаете по DHCP каждый раз новый) частный/приватный (не глобально маршрутизируемый, "серый" на сленге) IPv4-адрес. Список диапазонов частных IPv4 адресов представлен в RFC1918.
Я этот IP-адрес вводил в настройках подключения (настройки протокола IPv6)Думаю, вы имели в виду настройки IPv4.
В сети мой компьютер виден под другим адресом, причём всегда под одним и тем же, начинается он с 217.ххх.ххх...Это глобально маршрутизируемый ("белый" на сленге) IPv4-адрес. Если вам всегда "выдается" этот адрес, значит на соответствующем устройстве (маршрутизатор провайдера) имеет место статическая трансляция адресов.
От этого зависит ответ на поставленный вопрос?
Как и где узнать как на самом деле?
на самом деле?Получить доступ к внутренней документации провайдера (конфигурации устройств, карта сети с географической привязкой) и сопоставить разнородные данные. Все остальные способы, базы дадут вам лишь первое приближение.