LINUX.ORG.RU
ФорумTalks

Блокировка 2000000 адресов

 ,


0

1

Какие трудности могут возникнуть?

Предположим у вас Cisco. С нею знаком поверхностно, и не вижу никаких способов впихнуть туда этот список кроме как руками.

Если у вас Linux маршрутизатор, то как впихнуть понятно, но все равно придется какой-то код писать.

И напоследок, не представляю как это будет отрабатывать? Ведь каждый пакет будет идти через фаервол, проверка заголовка, отбрасывание и так (как только что подсказал коллега, уже 3000000) раз на пакет.

В общем кто по-опытнее, научите?)))


Блочат подсетями, а не отдельные адреса. Так-то вполне можно и устроить DoS оборудования, если закидывать массу рандомных IP. Помимо этого, поиск по бинарному дереву имеет сложность O(log n), а не O(n), что также несколько облегчает задачу.

Sadler ★★★
()
Последнее исправление: Sadler (всего исправлений: 1)
Ответ на: комментарий от Sadler

Думаю, что нагрузка на фаерволы все равно сильно возрастет, не представляю оборудование которое делали на такие нагрузки по этому параметру.

Все гонятся за скоростью пропускания пакетов... В общем хочется послушать представителя провайдера, не помню кто, но кто то из модераторов точно у прова работает... он мне рекомендовал не использовать 11.0.0.0/8 на частную виртуальную сеть...

Shulman
() автор топика
Ответ на: комментарий от Shulman

Думаю, что нагрузка на фаерволы все равно сильно возрастет, не представляю оборудование которое делали на такие нагрузки по этому параметру.

Нет даже на достаточно древнем компьютере с iptables + ipset можно заблокировать 2 миллиона ip адресов и разницы в нагрузке невозможно будет заметить.

anonymous_sama ★★★★★
()
Последнее исправление: anonymous_sama (всего исправлений: 1)
Ответ на: комментарий от anonymous_sama

Ок, значит остается только внести, но это уже кому как нравится...

Молодцы конечно...

Shulman
() автор топика
Ответ на: комментарий от Shulman

Думаю, что нагрузка на фаерволы все равно сильно возрастет, не представляю оборудование которое делали на такие нагрузки по этому параметру.

На уровне местных провайдеров завернуть пару десятков подсетей ничего не стоит, там банальное двоичное И, чтобы откусить маску, плюс сравнение. На уровне магистральщиков не знаю, может быть, сложнее, но от них и не требуется.

Sadler ★★★
()

от 2.000.000 адресов сервер схлопнется, от 1.000.000 надо подумать, от 100.000 уже нет. как раз с этой целью у меня стоят несколько высоконагруженных серверов, https://a.pomf.cat/vewkgi.jpg которые контроллируют весь трафик прежде чем тот дойдёт до конечной точки.

сетевое оборудование по типу Cisco, Juniper с этим справилось бы на раз-два, но я предпочитаю старый добрый линукс на х86, потому что это как с написанием кода — код ты пишешь прежде всего для других людей и важно чтобы в нём легко было разобраться, так и система линукс должна оставаться с человеческим лицом, с низким порогом вхождения, поэтому именно он.

советую попросту взять несколько железяк для распределения нагрузки.

Spoofing ★★★★★
()

Да оставят в итоге только российские AS по белому списку подсетей и нет проблем. На «замену» амазону и гуглу свои облака запилят мэйлру и яндекс с регистрацией в госуслугах по справке из психдиспансера и военкомата, внешний интернет - по талонам для юрлиц и с огромными штрафами.

snizovtsev ★★★★★
()
Ответ на: комментарий от Shulman

В Linux есть ipset для разгрузки правил файрвола. В Cisco(как и в любых других аппаратных маршрутизаторах) надо смотреть на размер ACL-ей, поддерживаемых вендором.

Там у тебя реально 2 миллиона не связанных друг с другом адресом или всё же они объединяются как-то в подсети?

Потому что если речь о подсетях даже /20, то тогда самих правил будет не далеко не 2 миллиона - соответственно всё со свистом заблокируется

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 2)
Ответ на: комментарий от snizovtsev

Уже сегодня требуют паспортные данные и номер телефона почти все местные хостеры даже если их дц в забугорье (дц ни при чем, финансовые операции, т.е. тупо оплата услуг). Ну про доменные имена давно так.

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

Я это узаю для расширения кругозора.

Вот теперь наши провы должны забанить 2000000 адресов, ну конечно это по подсетям разнесено...

Все это в продолжение темы с телеграм.

Ты у прова работаешь, скажи вам еще бумага не приходила, или ты не у нас?

Shulman
() автор топика
Ответ на: комментарий от dib2

Слава богу, я чист, это сделают без меня... я к этому не имею отношения.

И да телега утром не работала, а часов с 12 опять на связи.

#ТелегаЖиви

Shulman
() автор топика
Ответ на: комментарий от Pinkbyte

Так в том вся и прелесть ситуации.

РКН сейчас блокирует сети, дошло уже до /15 (еще не видно, но пошли разные хостинги, лизвеб например). Блокируют подсетями, потому что на «учениях» с Зелло они отгрузили адреса и, например, ТрансТелеком сдох.

Вопрос задается правильный. Ответ - да, если будут отгружать адреса поо одному, то все гавкнется на транзите, при чем на сотнях тысяч. Если будут отгружать и дальше как сейчас, то у российских компаний будет выбор - хоститься в пределах РФ или быть не доступными за пределами РФ. Такие дела.

Вангование всепропальщика: скажут, что так нельзя, будут белые списки с сайтами, которые соблюдают законодательство РФ. Местные дурачки будут смеяться и радоваться, что хипстерам не доложили стикеров, но забронировать отель или заказать запчасть для чего-то у них уже не выйдет.

Мягкий вариант - крупные провайдеры выгонят Телегу на мороз, блок снимут, Телега внедрит DHT, P2P и т.п.

Shaman007 ★★★★★
()
Последнее исправление: Shaman007 (всего исправлений: 1)
Ответ на: комментарий от Shaman007

РКН сейчас блокирует сети, дошло уже до /15 (еще не видно, но пошли разные хостинги, лизвеб например). Блокируют подсетями, потому что на «учениях» с Зелло они отгрузили адреса и, например, ТрансТелеком сдох.

Похоже из-за телеги РКН готов весь интернет по кусочкам перебанить. Ну а чо, за необоснованный бан ресурсов у них никакой ответственности, как я понимаю.

Даже закрадывается конспироложская мысль, что это в сговоре с Дуровым. Потому что когда бы еще такой повод появился...

praseodim ★★★★★
()
Последнее исправление: praseodim (всего исправлений: 1)

У меня была мысль, что как раз таки идея в обратном. Сейчас РКН скажет, что атата, текущие средства блокировки недостаточны, давайте-ка белые списки лучше введем.

kirk_johnson ★☆
()
Ответ на: комментарий от kirk_johnson

Такими темпами он их и так введет явочным порядком.

praseodim ★★★★★
()
Ответ на: комментарий от Shulman

Ты у прова работаешь, скажи вам еще бумага не приходила, или ты не у нас?

Так мы по бумагам давно уже не работаем(ну в исключительных случаях разве что) - единый реестр же

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Так мы по бумагам давно уже не работаем(ну в исключительных случаях разве что) - единый реестр же

А до сих пор все собственный костыль пишут, или уже какой-то единый софт/хард у всех?

kirk_johnson ★☆
()
Ответ на: комментарий от Shulman

Он уже облажался.

Поправка: на учениях блокировали имена, это матчинг SNI и HEAD, на десятках тысяч DPI дохнет.

Shaman007 ★★★★★
()
Ответ на: комментарий от Shaman007

Я в курсе, что происходит дичь, от которой любой адекватный работник отрасли связи готов себе пробить фэйспалмом лицо. Она уже дааавно происходит :-(

Ответ - да, если будут отгружать адреса поо одному, то все гавкнется на транзите, при чем на сотнях тысяч.

Потому что простецкие DPI-системы блэкхолят маршруты так - как выдано в выгрузке(было по одному) и редистрибьютят всё это в динамические протоколы маршрутизации у провайдера. Пару сотен тыщ маршрутов в OSPF принагнут коммутаторы только в путь...

Pinkbyte ★★★★★
()
Ответ на: комментарий от kirk_johnson

Собственный костыль пишут как правило или от совсем нищеты или если нужно точить сильно под какие-то особенности сети.

Нам было проще купить одно из российских решений, которые принципиально затачивают под российские же законы(рекламировать его бесплатно я пожалуй не буду). Ставится оно не в разрыв, так что даже если что-то ложится(а ложится оно бывает что и нередко при апдейтах - российский же софт, ага) - страшного ничего для пользователей нет.

Железный сервер они тоже могут предоставить, но там по факту HP Proliant триста-какой-то с линуксом(CentOS) на борту - смысла в нём в общем-то особо и нет.

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 3)
Ответ на: комментарий от Shulman

рекомендовал не использовать 11.0.0.0/8 на частную виртуальную сеть

Ты американский военный? Нет? Тогда правильно тебе не рекомендовали. И это не частная виртуальная сеть если что. ;)

imul ★★★★★
()

А где можно увидеть список заблокированных сетей?

sentry.io, похоже, попал под блокировку.

SaBo ★★
()

Блокировка 2000000 адресов

Это же классно! Их можно раздать провайдерам в России.

Deleted
()
Ответ на: комментарий от SaBo

host evernote.com
evernote.com has address 35.190.29.187

в ту же степь (35.208.0.0/12), сайт РКН подтверджает -

Генпрокуратура
27-31-2015/Ид4082-15
04.12.2015

IPv6 у них нет.

snizovtsev ★★★★★
()

Роскомпозор, ты штоле?

CLU
()
Ответ на: комментарий от snizovtsev

Пффф, я к этому был готов еще много лет назад.

Lordwind ★★★★★
()
Ответ на: комментарий от CrossFire

Это смотря как измерять, плотность интернета непостоянна. Как минимум 4 сервиса (Linkedin, Evernote, Expedia, Airbnb), которыми я пользуюсь/пользовался в списке - не похоже на полпроцента по хитам.

snizovtsev ★★★★★
()
Ответ на: комментарий от CrossFire

Ой, да ладно вам панику поднимать. Ещё не всю страну просрале.

burato ★★★★★
()
Ответ на: комментарий от Sadler

Помимо этого, поиск по бинарному дереву имеет сложность O(log n), а не O(n), что также несколько облегчает задачу.

А по хэш-таблице в среднем O(1). (Для остальных, кто не в теме) Это означает, что какому-нибудь ipset-у в среднем плевать, 10 адресов у вас или 10 000 000.

h31 ★★★★
()
Ответ на: комментарий от snizovtsev

Я это с юмором сказал, если что. Но LinkedIn отдельно заблокирован, из того чем я пользуюсь сейчас Toggl упал.

CrossFire ★★★★★
()

не вижу никаких способов впихнуть туда этот список кроме как руками.

Скачиваешь конфиг. Запихиваешь туда адреса скриптом. Заливаешь конфиг.

А вообще 100500 адресов не банят, на каждый пакет будет уходить больше ресурсов для обработки. На твоей сиське можно будет жарить яишницу)

1.2.3.4/28 <--- блочат как-то так. Ну типо маска подсети и всякое такое.

Murg ★★★
()
Ответ на: комментарий от mandala

Так это нормально, я думал что в РФ нужно предъявлять аусвайс для реги любого домена (при регистрации через нац.регов).

Bruce_Lee ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.