Недавно открыл для себя этого автора. Тоже наш земляк, эмигрант из Латвии. Не во всём с ним согласен, но в целом весьма толковый. Вообще последнее время стало очень заметно, сколько интеллектуалов самых разных взглядов уехали из Латвии и выступают сейчас на российских площадках.
> Випиэн для пенсионеров и олдфагов. Сейчас в тренде фигурная резка TCP-пакетов!
Фигурная нарезка - вещь, да. А вот от TCP RST атак провайдера я пока не придумал защиты. По своим сервером ещё можно договориться, а с чужим, которому фейковый RST пров отправляет, как? Понятно, что через свой чистый прокси, который rst прова дропает, но это ещё надо забубукать умудриться. Да и не на каждый роутер нужновое поставить можно. Склоняюсь к спец. коробочке на Raspberry перед роутером.
Это как бы не мне такое надо, у меня роутер вообще чисто вифи раздаёт. Но собутыльники плачут, ютубтитьку просють.
А тут недавно ещё в ядро линуксей бага прокралась, что сетевые карты дыбом встали в виртуалках. Я чуть не свихнулся, пока понял, что дело не в кривых копытах.
> от TCP RST атак провайдера я пока не придумал защиты
У меня подошли более радикально, кто-то в подъезде в стиле картины Васи Ложкина перегрыз кабеля. А провайдер морозится. Общается через робота в стиле: погладьте роутер, передёрните штекер, а вы уверены, что у вас действительно интернета нет, ваш звонок очень важен для нас, заявка будет обработана в течение трёх дней...
Пока раздаю интернет сам себе с мобилы, качаю дзен, чтобы не полезть на чердак с обжимкой.
> Пока раздаю интернет сам себе с мобилы, качаю дзен, чтобы не полезть на чердак с обжимкой.
Позвони в отдел продаж, скажи, что разрываешь договор, потому что кабель кто-то перерезал и его не чинят третий день. Это срабатывает гораздо гораздей общения с роботом. Могут даже или тариф удешевить, или месяц бесплатно устроить.
Я б к билайну не пошел. Ростелеком пидарасы, но если дом нормально у них сделан, то будет работать. С белым айпи только проблемы могут быть, ежели на оптике, но оно и не всем надо.
Уже давно на гитхабе лежит не только исходники но и заботливо сделанный службой в windows демоном в линух код по обходу dpi блокировок, работает отлично, роутер правда пришлось перепрошивать и немножко шаманить, но на винде все легко и просто.
> Ростелеком пидарасы, но если дом нормально у них сделан, то будет работать
Ох уж это "если"...
С 2006 года с этими гондонами бодаюсь! Кишками чую, что кольцо они у нас накрутили, а как доказать - хз. Даже когда пробиваюсь на технарей - "Заявку оформил, разберёмся!". А потом смс: "К Вам прибудет мастер 4 часа назад, будьте дома". И сразу вслед за ней "Заявка закрыта".
И не уйти от них. Дом маленький, крупные провайдеры заходить не хотят. А всякую мелочь они скупают почти сразу.
> Уже давно на гитхабе лежит не только исходники но и заботливо сделанный службой в windows демоном в линух код по обходу dpi блокировок, работает отлично, роутер правда пришлось перепрошивать и немножко шаманить, но на винде все легко и просто.
Ух ты, а и не знал!!! Защиту от rst атаки туда когда завезли, не вижу что-то в комиттах? :-)
Глубоко не рыл, работает и ладно, но кусок кода по rst там точно был. Если мы об одном и том же то в сырцах лежал, ща глянул, человек 4 дня назад кроил как раз в коммите описание "Ignore all RSTs with -p" . Так что есть, что-то он там меняет.
Про это читал, но это не защита, а просто игнор всех rst. Для тестов и исследований сгодится. Там вроде так и писали. А дропать такое я могу и обычным nftables, но это не выход: будет куча ненужных, но открытых tcp сессий, и пока они по таймауту отвалятся - сервер может самочеренковаться. :)
Я другое видел - тестовая реализция rstless tcp стека, там rst вообще не юзается, а закрытие без rst делается. [censored]
Но это можно только для своих серверов поставить. Временнг будет работать, пока ТСПУ не научат новому фокусу. Миру нужен новый герой динамический TCP протокол, чтобы он менялся постоянно. Но тогда будут банить по айпи. Наступила эра феодальной интернет-рездробленности.
Нет. Это похоже на сознательный злонамеренный флуд.
Проблема кольца заключается в том, что оно вынуждает коммутатор бесконечно накапливать броадкасты в сегменте сети. Логика такая: коммутатор видит бродкаст, и кидает его во все свои порты. При этом например два порта у него замкнуты между собой. То есть то что он только что отправил - он тут же получил назад. И снова отправляет, и так бесконечно. А так как в сети бродкасты возникают регулярно - через некоторое время коммутатор утонет в них.
У тебя на скрине виден флуд пакетами с флагом "закрыть соединение", отправляемых от имени сервера 64.233.164.139. С порта HTTPS. А адрес этот в диапазоне гугла, если чо.
Ну самое очевидное - на своем роутере (или прямо на компе) дропать входящие пакеты с флагом RST. В линухах например так:
iptables -A FORWARD -i wan -p tcp --tcp-flags ALL RST,ACK -j DROP
iptables -A FORWARD -i wan -p tcp --tcp-flags ALL RST -j DROP
Сейчас, сейчас