» »

Filitriranje prometa pri ISP-jih

BlueRunner ::

BlueRunner - se pravi, da po tvojem ISP ne sme imeti niti firewalla? Pa za kakšno povezavo bi prosil, zgolj za potrditev. Saj sta v končni fazi tudi klic in sms komuniciranje, pa jih operater vseeno klasificira. Se pravi da krši zakon...


Tole je fork iz sosednje teme, da ne bomo tam preveč off-topic.

BlueRunner ::

Osnoven zaplet: nekako izgleda, da Si.mobil uporablja tehniko s katero ugotavlja kater promet je P2P, kater promet pa ni. Na podlagi te klasifikacije pa potem omejuje količino podatkov, ki jo prenašaš preko P2P, ne omejuje pa količine, ki jo prenašaš z drugimi protokoli.

Moje mnenje je, da je takšna klasifikacija realno možna samo z vpogledom v vsebino paketa, saj ugotovitev za kakšen tip prometa se gre ni razviden iz "prometne" vsebine paketa. Pri temu se zanašam na ZEKom, kjer je opisano kaj vse obsega pojem "podatek o prometu" in na splošno mnenje kaj v primeru dostopa do medmrežja predstavlja podatke o prometu.

Moje mnenje je, da vse kar niso podatki o prometu predstavlja vsebino komunikacije in ne samo podatke o temu od katere točke oziroma k kateri točki omrežja se komunikacijo usmerja. Vsebina komunikacije je osebna stvar, v katero operater ne sme imeti vpogleda in je tudi ne more avtomatično obdelovati brez privolitve lastnika te vsebine (kombinacija ZVOP in ZEKom).

Sedaj pa ven z izkušnjami... kaj se je opazilo še pri drugih ponudnikih dostopa do medmrežja in kaj si mislite o temu kako daleč se sme pustiti te ponudnike, da odločajo o temu kakšna komunikacija je in kakšna komunikacija ni zaželjena.

Zgodovina sprememb…

Bakunin ::

nic kar Protocol Encryption - FORCE v utorrentu ne resi. ;]
MTU test > http://www.letmecheck.it/mtu-test.php

"I will not rule, and also ruled I will not be! " | irc://irc.sioff.net/slo-tech

ABX ::

Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

jini ::

po mojem mnenju bi smel ISP imeti vpogled samo v glavo IP datagrama, s paketi se sploh ne bi smel ukvarjati.

Mr.B ::

Nastaviš samo koliko hkratnih odprtih povezav dovoljuješ s sklienta preko ISP mreže, pa pofiltriraš 99% P2P prometa, za ostale
protokole
pa narediš izjeme, pa ni potrebe noben promet pogledati...
Večina v PRIVATNEM Sektorju ni tako dobro plačana,
kot se s pogromom nanje skuša prikazati, številke iz,
konteksta so brca mimo in so za 20% pod zagotovljenim minimalcem.

BlueRunner ::

Hmm... kako pa veš koliko je hkratno odprtih povezav? Če pogledaš kakrkoli, kar presega gol IP naslov, ozirima če greš brskati po temu kater IP protokol uporabljam, kaj šele parametre znotraj npr. TCP protokola, je to IMHO že poseg v komunikacijsko zasebnost.

Moja logika je sledeča: če se teh podatkov ne shranjuje s skladu z ZEKom, to potem niso podatki o prometu. Če to niso podatki o premetu, jih nima operater brez mojega eksplicitnega pisnega privoljenja kaj za gledati.

Ali se lahko ta argument na nek način potolče kot slab ali nepravilen?

Mr.B ::

P2P ima način dela, da lahko preprečuješ delovanje legalnih torentov, toda, dejasnko je tega zeloooo malo... torej če imaš klienta, ki na portu (realnem, fizičnem, virtualnem, interface) povzroča namesto realnih 5 hkratnih povezav na sekundo , ampak jih generira sto+ na sekundao, dajeansko ni
legalni
promet...Za implementacijo take rešitve ne rabiš niti relativno drago rešitev. Na podoben način verjetno dela tudi wrt-dd, z opcijo cach all p2p traffic...
-na torrentu si nastaviti 3 con/sec, pa boste videli kaj vam deluje zadeva..
Torej ne potrebujem vedeti ničesar o uporabniku, IP-jih, vsebiniah, portih....Dejansko pa nisi ISP provaider, samo alteranvivno pipico omogočaš do ISP-ja,....
Večina v PRIVATNEM Sektorju ni tako dobro plačana,
kot se s pogromom nanje skuša prikazati, številke iz,
konteksta so brca mimo in so za 20% pod zagotovljenim minimalcem.

BlueRunner ::

Ok, ampak še vedno nisi povedal kako se "prešteje" število hkratnih povezav na sekundo.

Čisto meta-tehničen opis kako izgleda delovanje takšnega štetja.

ABX ::

Ok, ampak še vedno nisi povedal kako se "prešteje" število hkratnih povezav na sekundo.

Čisto meta-tehničen opis kako izgleda delovanje takšnega štetja.


Tomato firmware ti lahko pokaže koliko istočasnih povezav koristiš.


Torrenti niso illegalen protokol.

V starih časih warez se je širil z FTP (še vedno je tako v underground), danes ker je torrent toliko hitrejši se je pač vse preselilo vse na njega.

Torrent je najhitrejši protokol za prenos podatkov med veliko število uporabnika. World of Warcraft uporablja torrent za patchiranje klientov, ker FTP, WEB prenos je vedno zabilo serverje.

Kdor misli da torrenti so illegalni ne razume nič.
Vaša inštalacija je uspešno spodletela!

ABX ::

Nastaviš samo koliko hkratnih odprtih povezav dovoljuješ s sklienta preko ISP mreže, pa pofiltriraš 99% P2P prometa, za ostale
protokole
pa narediš izjeme, pa ni potrebe noben promet pogledati...


Če omejiš število istočasnih povezav bojo podjetja z veliko uporabniki imele težave.

Kako boš to rešil? Boš ponudil dva paketa, študent in paketar?
To je diskriminacija ki net neutrality napoveduje.

Zakaj države ki so vložile veliko truda v mrežo nimajo teh težav?
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

BlueRunner ::

En operater verjetno ne bo uporabljal tomato ali dd-wrt, da bo "obdeloval" vsebino nekaj milijonov sočasnih povezav, mar ne?

Pa tudi, če bi, to še vedno ne odgovori na vprašanje, kako se tehnično implementira štetje "povezav", ne da bi to bil poseg v vsebino paketa. Kako tomato "ve", koliko je aktivnih "povezav"? Kaj točno preveri, da lahko reče to je pa "povezava".

Mr.B ::

Noramlni promet, ne generira sto novih povezav na sekundo, en firefox, recimo zgenerira tri do štiri, potem pa se zaključi, pa s klikom spet ene tri štiri, .... s p2p pa generiraš 100+na sekundo, s tem da je štartni port vedno isti, potem pa dinamičen.
Večina v PRIVATNEM Sektorju ni tako dobro plačana,
kot se s pogromom nanje skuša prikazati, številke iz,
konteksta so brca mimo in so za 20% pod zagotovljenim minimalcem.

ABX ::

Noramlni promet, ne generira sto novih povezav na sekundo, en firefox, recimo zgenerira tri do štiri, potem pa se zaključi, pa s klikom spet ene tri štiri, .... s p2p pa generiraš 100+na sekundo, s tem da je štartni port vedno isti, potem pa dinamičen.


Se strinjam, vendar ko imaš 100 uporabnikov ki uporablja vse možne programe boš hitro prišel na veliko število istočasnih povezav.

Glede število istočasnih povezav si preberi kak članek. Osebno tega ne delam, tako da ne poznam Linux ukaza za izpis trenutnih povezav. Vendar zadeva ni komplicirana če se s tem ubadaš.

Na SMTP protokolu je 90% spama, pa še vedno nobeden ne pomisli da blokado email prometa. Torrent v tem kontekstu je še dober.
Vaša inštalacija je uspešno spodletela!

BlueRunner ::

OK, ne gre se za to, da sam ne vem kako se to dela - ravno nasprotno: sam še kako zelo natačno vem kako se to tehnično počne. Zato tudi menim, da je tovrstno početje nezakonito.

Vendar pa bi rad tiste, ki tega ne vedo (oziroma ne razumejo), pripeljal do razumevanja, zakaj "štetje povezav" nujno pomeni pregledovanje oziroma obdelovanje podatkov, ki niso podatki o prometu, če pa so, pa obdelovanje na način, ki v zakonu ni dovoljen.

Takšno pregledovanje ali obdelovanje brez predhodnega strinjanja lastnika teh (osebnih) podatkov, za kakršen koli namen, ki ne služi prenosu komunikacije, pa je pri nas zaenkrat z zakonom prepovedano. Morda celo kaznivo.

Zgodovina sprememb…

Mr.B ::

Da ABX se strinjam, toda poglej izven škatle, torej odprem 10 programov, ki vsak hoče povezavo na net, tako ali drugače, kaj se zgodi če ne klikam po ničemer ? Da v štaru si s skripto naredil da se teh deset programov odpre hkrati, če ti omejim količino hkratnih povezav s politiko, se ti bo v najslabšem primeru zdelo, da se določene strani počasneje odpirajo, kot da je nekaj počasneje, potem pa se recimo cca po 10s umiri, na zmerno količino recimo smtp/pop klient še dl-ja pošto... in če ne klikaš nikamor, količina pade praktično na nulo +-5 povezav na sekundo... Če sedaj razumeš kaj hočem povedati, torej to je delo navadnega uporabnika... Toda pri torrentih , muli in podobno pa je podpis takega delovanja drugačen.

BlueRunner, an managment software za take primere, je konkretno dražji. dd-wrt sem dal kot primer enostavnega načina blokiranja takih zadev....
Večina v PRIVATNEM Sektorju ni tako dobro plačana,
kot se s pogromom nanje skuša prikazati, številke iz,
konteksta so brca mimo in so za 20% pod zagotovljenim minimalcem.

ABX ::

Se strinjam da p2p uporabljajo malo preveč istočasnih povezav, vendar ni rešitev omejit link na 100-200 istočasnih povezav (UMTS dvomim da jih ima kaj dosti).

Bluerunner:
Omejevat število povezav ni sporno iz vidika zasebnosti.
Pregledovat pakete in jim omejevat hitrost je.
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

Mr.B ::

Tako, je ABX. V nobenem primeru ne gledaš vsebino paketa, le narediš buffer za povezavo, ko se napolni se vse skupaj upočasni. Navaden uporabnik ne opazi ničesar, p2p uporabnik pa dejansko to opazi...
Večina v PRIVATNEM Sektorju ni tako dobro plačana,
kot se s pogromom nanje skuša prikazati, številke iz,
konteksta so brca mimo in so za 20% pod zagotovljenim minimalcem.

bosstjann ::

Kakor vem nimajo tako narejeno, pač dokler poteka download iz strani ga ne omejujejo.

Drugače se pa zgodi na trenutke, da imaš z običajnim brskanjem lahko odprtih tudi do 200-300 povezav hkrati.

BlueRunner ::

Super, imamo SW in HW, ki to zna delati. Vendar pa še vedno ostaja eno in isto vprašanje: ali je takšno početje legalno ali nelegalno. Sam mislim, da je tudi "štetje povezav" nelegalno, ker preverja tiste dele paketa, po katerih ne rabi operater ničesar rofkati. Če pa to mora zaradi tehničnih razlogov (npr. vsi uporabniki so zaprti za PAT v walled garden), pa teh podatkov še vedno ne sme obdelovati za noben drug namen, razen za namen posredovanja te komunikacije.

Ti govoriš o temu kaj se da in kaj lahko operater tehnično počne. Jaz pa govorim o temu, da operater tega verjetno sploh ne bi smel početi, ker je nezakonito in potencialno tudi kaznivo (za odgovorno osebo operaterja).

Senitel ::

Kaj pa če operaterjevi usmerjevalniki ne zmorejo držat 500 sočasnih povezav (številka je ultra premala ampak "for the sake of argument")? To bi ti lahko že en uporabnik zabasal in noben drug ne bi mogel recimo niti e-maila odpret. Zakaj misliš da te ISP v takem primeru ne bi obravnaval kot napad na integriteto omrežja?
To so isti podatki, kot se jih v bistvu hrani kot prometne podatke: local address, foreign address in koliko časa je bila povezava vzpostavljena, nič pa o tem koliko podatkov se je sploh preneslo.
Kaj misliš kaj se bo zgodilo, če jutri ob 11h vsak širokopasoven priključek v Sloveniji začne vlečt dol s torrentov?

OmegaBlue ::

Nevem kaj tukaj strašite naokoli z DPI. Vsak mobilni operater do sedaj je imel svoj pool naslovov za dostop do omrežja, in a nutshell ste za nekim stateful firewalom, ker izvajajo NAT in zaradi same tehnične potrebe se dela connection tracking - drugače ne bi mogli dostopat nikamor. Vse skupaj seveda pregleduje header del paketkov, ki letijo po omrežju, kar ni nič nenavadnega, čudnega ali nelegalnega - da se ne boste zgražali ko izveste da vsak router na poti do cilja spremeni header(ne samo bere) VAŠEGA paketka (odšteje TTL).

Zadeva bi bila hudo sporna če bi šarili po data delu paketka.

Sam sicer nimam dostopa od nobenega operaterja a sem prepričan, da če previdno preberete pogodbo, ki ste jo podpisali, najdete notri klavzulo, ki operaterju dovoljuje uporabo določenih omejitev in ukrepov v primeru, ko bi določeno obnašanje aplikacije ali dejanje uporabnika ogrozilo (stabilno) delovanje omrežja ali motilo/onemogočalo uporabo storitev drugem uporabniku.

Ne dramatizirajte.
Never attribute to malice that which can be adequately explained by stupidity.

BlueRunner ::

@OmegaBlue: Vse to, kar si navedel samo po sebi ni problematično in ni sporno.

Vendar pa si pozabil na dve dejstvi:
- operater lahko obdeluje te podatke, če je to nujno potrebno za prenos podatka skozi omrežje.
- obdelave teh podatkov ne sme izkoristiti za čisto nič drugega, če se lastnik teh podatkov s takšnim izkoriščanjem ne strinja.

Od "zagotavljanja pravilnosti delovanja omrežja" pa do "omejujemo BitTorrent, ne pa drugih protokolov", je pa precejšen razkorak. Razkorak v katerem se je operater morda odločil, da je upravičen svojim strankam, brez njihovega strinjanja predpisovati katere vsebine smejo prenašati preko omrežja. Na podlagi obdelave osebnih podatkov (lahko prometnih - če ima operater PAT - ali pa celo vsebine).

V pogodbi tudi res piše, kakšna so pravila obnašanja, nikjer pa ne piše, da me ima operater pravico omejevati, ne da bi me o morebitni omejitvi jasno obvestil (skupaj z razlogi za omejevanje). Kar tako na pamet, po sistemu divjega zahoda, se te stvari pač ne morejo početi. Še posebej pa ne samo zato, ker se jih tehnično slučano da početi.

Štetje povezav je nekaj, kar lahko dela PAT naprava, če ji to ukažeš, saj mora nujno obdelovati te podatke, če se želi zagotavljati storitev. Izvajanje nekih ukrepov na podlagi teh podatkov pa je že korak predaleč.

Izločevanje in omejevanje samo BitTorrent protokola pa tudi ni možno na podlagi uporabljenega porta, temveč se ga praviloma izvaja na dva načina:
- v začetnih oktetih TCP vsebine vseh TCP paketkov se išče magičen niz, ki označuje, da je to BT data povezava.
- v vsebini vseh paketkov se išče značilen HTTP niz preko katerega klient sporoča trackerju svoj status in iz njega pobira podatke o ostalih odjemalcih.

Tako zaznan promet pa se politiki operaterja primerno "obdela". Npr. izmet vsakega x-tega TCP data paketka v toku povzroči zmanjšanje TCP okna, se čemer se skoraj nedokazljivo omeji hitrost povezave.

Sedaj naj mi pa nekdo reče, da to ni korak predaleč pri avtomatični obdelavi podatkov.

Ali pa naj mi nekdo reče, da na podlagi opisa simptomov, kot so bili navedeni v izhodišni temi, ni možno sklepati, da se Si.mobil morda poslužuje natačno teh nelegalnih sredstev.

Še zadnji test, ki ga bi bilo možno izvesti, pa je npr. prenos kakšnega ubuntu ali fedora DVD-ja, ki so praviloma dobro zasejani. Ko se izkaže, da je maksimalna dosežena hitrost X kB/s, pa se iz istega računalnika, preko iste povezave začne prenašati še datoteko preko HTTP ali FTP protokola. Če bo ta drugi prenos hitrejši od BT prenosa, to pomeni, da se ne omejuje na podlagi pasovne širine ali števila povezav, temveč se omejuje izključno na podlagi zaznavanja in motenja TCP podatkovnega toka po katerem se prenašajo BitTorrent podatki.

Ugotavljanje kateri izmed vseh aktivnih tokov na vseh naključno izbranih TCP vratih pa priprada BitTorrent protokolu, pa je tehnično možno samo na en način. Ta način pa je v Sloveniji no-no.

OmegaBlue ::

ČE in zopet ČE gledajo v data del brez obveščanja je to slabo, je pa to na strankah in/ali komisiji/inšpekciji da dokaže. Tkole nabijat v prazno pa ne gre. Bittorrent se da tudi zelo učinkovito omejevat brez vpogleda v data del in iskanje http headerja ima zelo značilno obnašanje na mreži.
Never attribute to malice that which can be adequately explained by stupidity.

Mr.B ::

BluRunner , ftp promet, se poveže na strežnik odpe nekaj sekundarnih portov, ki jih drži online oziroma posplošeno dvigne konstantno n pov/s, bittorent pa dvigne in drži 100x n /povezav na sekundo. to je razlika, ker drugače bi zrušil z relativno majhnim številom uporabnikov vsak ftp strežnik, ker bi ga DOSal..
Večina v PRIVATNEM Sektorju ni tako dobro plačana,
kot se s pogromom nanje skuša prikazati, številke iz,
konteksta so brca mimo in so za 20% pod zagotovljenim minimalcem.

BlueRunner ::

OK, potem mi pa povejte kako je možno omejiti BitTorrent promet na način, da bodo razvidni naslednji simptomi:
- Kumulativno je količina podatkov preko BitTorrent prehoda je omejen na 40 kB/s
- Sočasno se odpre še ena dodatna HTTP TCP seja, ki uspe prenašati podatke s hitrostjo 200 kB/s

Kar se pa tiče nabijanja v prazno, pa bom rekel tole: ne vem zakaj bi kdo mislil, da nabijam v prazno, če sprašujem, kako je to možno narediti, ne da bi se kršilo zakon. Seveda pa ne morem reči, da Si.mobil krši zakon. To lahko ugotovijo inšpekcije in sodišča.

Seveda pa lahko povem svoje mnenje in ga poskusim podkrepiti s svojim tehničnim znanjem, zakaj mislim, da do zlorabe dejansko prihaja. Debata pa je odprta tudi za vse ostale operaterje brez izjem. Kje se dogaja, kaj se dogaja, kakšni so simptomi.

Ali pa se o temu morda ni vredno pogovarjati?

Senitel ::

To narediš enostavno: port 80 pustiš neomejen, vse ostalo omejiš na 40kB/s.

P.S.: Ti v bistvu trdiš, da tega brez vpogleda v data del paketka (kjer šele vidiš dejansko ali gre za http ali bittorrent) tega ne moreš naredit.

Zgodovina sprememb…

  • spremenil: Senitel ()

BlueRunner ::

Jaz v bistvu trdim, da je že vpogled v to, ali je paket TCP ali UDP, kaj šele številko porta, poseg v zasebnost.

V primeru PAT/NAT naprav, kot je OmegaBlue lepo napisal, predvsem nujna in z zakonom dovoljena.

V primeru pa, da se na podlagi tega dela neke omejitve pasovne širine, pa je to že poseg v mojo svobodo komuniciranja. Menim, da je operater s tem prestopil iz vloge operaterja v vlogo cenzorja in tistega, ki odloča na kakšen način mi je dovoljeno komunicirati. Te pravice brez moje privolitve zagotovo nima.

Kaj pa, če se bo operater hipotetično odločil omejiti npr. VoIP promet? Ali bo to potem še vedno sprejemljivo? Tudi v kontekstu tega, da bo uporabljal (raje bi rekel zlorabljal) enako tehniko in tehnologijo, samo z drugim namenom?

OmegaBlue ::

Kako ovirati bittorrent promet se različne firme praskajo po glavi še dolgo časa, je veliko načinov, je pa res da malo ki ne delajo DPI. V primeru simobila je dovolj da nastaviš ratelimit na TCP povezavah.

Lahko pa testiraš, naredi torrent file in uporabi interni tracker v utorrent/azureus/vuze na neki dobri liniji (recmo 10/10 optika) in probaj z enim peerom. Seed (ti ali kolega) te lhako doda na priority/friend listo in pusti da stvar leti brez omejitve, skratka dobiš 1:1 torrent povezavo. Pogledaš ob različnih urah koliko leti, potem pa forsiraš protocol encryption ingledaš s tistim, za zabavo lahko dodaš še ssh/vpn povezavo. Se bo hitro videlo.
Never attribute to malice that which can be adequately explained by stupidity.

BlueRunner ::

Lahko pa testiraš, naredi torrent file in uporabi interni tracker v utorrent/azureus/vuze na neki dobri liniji (recmo 10/10 optika) in probaj z enim peerom. Seed (ti ali kolega) te lhako doda na priority/friend listo in pusti da stvar leti brez omejitve, skratka dobiš 1:1 torrent povezavo. Pogledaš ob različnih urah koliko leti, potem pa forsiraš protocol encryption ingledaš s tistim, za zabavo lahko dodaš še ssh/vpn povezavo. Se bo hitro videlo.


OK, to lahko tudi sam izvedem. Ampak ali boste potem verjeli rezultatom, ne glede na to kašni bodo? Oziroma drugače: povejte mi, kako vam bom lahko dokazal, da so rezultati verodostojni, še preden bom zapravil tiste € za novo naročnino pri Si.mobilu.

ABX ::

Napiši postopek testiranja. Če ne bo napak bo isti postopek uporabil še kakšen uporabnik Simobila in bomo lahko kaj več razumeli.
Vaša inštalacija je uspešno spodletela!

OmegaBlue ::

Rezultati bi lahko pokazali veliko - saj ne da ne verjamemo a vsaj jaz sem raje trdno prepričan predno jih grem metat dokaj resne obtožbe v smer ponudnika - dokazi pač ne škodijo ;)

Če delajo DPI in ciljajo na BT se strinjam, da jih je treba sestrelil/razkrit, ne zdej mojih argumentov jemat kot branjenje operaterja.
Never attribute to malice that which can be adequately explained by stupidity.

BlueRunner ::

Dokazi nikoli ne škodijo. Sem pa tudi prepričan, da jih bo marsikdo z zanimanjem počakal, da bo videl kakšni bodo rezultati. Potrudil se bom, da bom naredil ponovljiv test, potem bomo pa videli kaj bo prišlo ven.

Zagotovo pa takšnih stvari osebno ne vidim kot branjenje ali zagovarjanje enega operaterja. Prej nasprotno... Če nekaj rečem, potem je pravilno, da to poskušam tudi čim bolj podkrepiti z dokazi.

BlueRunner ::

Evo, danes sem postal Si.mobilov naročnik in začel z prvimi poskusi, da dobim občutek kaj me čaka. Takole na prvi pogled je prvi rezultat takšen, kot je nekako že bil opisan:
- BitTorrent prenos Fedora-11-Beta-i386-DVD iz uradne spletne strani http://www.fedoraproject.org/ ima 11/7 aktivnih povezav (11 vhodnih, 7 izhodnih) oziroma skupno 37/33 vseh živih povezav (seeds/peers).
- Medtem, ko se prenaša ta torrent s 34 kB/s začnem s prenosom iste datoteke preko HTTP protokola: prenos začne teči s hitrostjo cca. 100 kB/s
- Pri temu hitrost BitTorrent prenosa pade na cca. 28 kB/s

Vse narejeno v spletnem brskalniku Opera 10 Alpha (build 1219), operacijski sistem Windows 7.

Mimogrede sem opazil, da je ICMP protokol blokiran, čeprav je za povezavo dodeljen javen IP naslov iz območja 94.127.xx.xx in ICMP paketki pridejo do svoje "tarče", vendar pa se odgovor več ne vrne. Kar se mi zdi Bad Karma™.

To sicer razumem, ker bi lahko lastnike omejenih paketov brez težav spravili v finančne težave z DoS napadom na njihov javni IP naslov. Ni pa to primerno za naročnike neomejenih paketov... Bomo videli kaj se bo dalo urediti na klicnem centru.

Skratka mislim, da bo kar nekaj stvari za raziskovati. Sedaj pa se moram resno lotiti testiranja >:D

BlazP ::

En dan se odlocis, da bos postal operater mobilne telefonije in ponujal svojim uporabnikom storitev dostopa do interneta. Vecina baznih postaj, ki jih upravljas ima zelo omejeno pasovno sirino v uplinku. Po domace povedano je veliko stevilo narocnikov povezanih preko ozke pipe v internet. Za storitev telefonije to ne pomeni nobene ovire, ker sami klici ne zasedejo veliko pasovne sirine. Od vseh teh uporabnikov jih ena desetina vzame storitev internet. Veselo zacnejo uporabljati P2P, in zabasejo uplinke od baznih postaj do amena. Storitev interneta preko mobilne telefonije postane prakticno neuporabna. Kaj storiti? Kako bos zascitil lastno omrezje pred poplavami, zaradi katerih prihaja do izpada storitev?

Si ponudnik internetnih storitev preko bakra, kablske, optike, ipd. Nekega dne se zacne siriti po omrezju crv, ki se siri preko porta za NETBIOS. Siri se hitreje kot kuga. Vedno vec uporabnikov je okuzenih, klicejo na center za pomoc narocnikov, ker jim internet ne dela. Kaj storiti? Klasificirati promet po layer 4 informaciji ne smes, ker je nekdo na tehnicnem forumu sprozil gonjo proti operaterjem ;)

ABX ::

En dan se odlocis, da bos postal operater mobilne telefonije in ponujal svojim uporabnikom storitev dostopa do interneta. Vecina baznih postaj, ki jih upravljas ima zelo omejeno pasovno sirino v uplinku. Po domace povedano je veliko stevilo narocnikov povezanih preko ozke pipe v internet. Za storitev telefonije to ne pomeni nobene ovire, ker sami klici ne zasedejo veliko pasovne sirine. Od vseh teh uporabnikov jih ena desetina vzame storitev internet. Veselo zacnejo uporabljati P2P, in zabasejo uplinke od baznih postaj do amena. Storitev interneta preko mobilne telefonije postane prakticno neuporabna. Kaj storiti? Kako bos zascitil lastno omrezje pred poplavami, zaradi katerih prihaja do izpada storitev?

Si ponudnik internetnih storitev preko bakra, kablske, optike, ipd. Nekega dne se zacne siriti po omrezju crv, ki se siri preko porta za NETBIOS. Siri se hitreje kot kuga. Vedno vec uporabnikov je okuzenih, klicejo na center za pomoc narocnikov, ker jim internet ne dela. Kaj storiti? Klasificirati promet po layer 4 informaciji ne smes, ker je nekdo na tehnicnem forumu sprozil gonjo proti operaterjem ;)


NETBIOS napadi delajo na default portu, tako da zadevo zapreš. Na srečo je to zaprto že leta.

Če nimaš dober uplink, potem spremeniš ponudbo in navedeš hitrost ki lahko dejansko ponudiš. Ker nekateri uporabniki so bolj zahtevni ne blokiraš njihov promet, sploh pa ne na nezakonit način.
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

BlazP ::

Imas 50 baznih postaj. 47 jih je povezanih s 100Mbps uplinkom, dve sta s 16Mbps, ena pa z E1 linkom, torej 2Mbps. Kaksno ponudbo bos napisal?

EDIT: default NETBIOS port sem dal kot primer, ker je nekdo omenil, da je vpogled v layer 4 header ze nezakonit.

Zgodovina sprememb…

  • spremenil: BlazP ()

ABX ::

Imas 50 baznih postaj. 47 jih je povezanih s 100Mbps uplinkom, dve sta s 16Mbps, ena pa z E1 linkom, torej 2Mbps. Kaksno ponudbo bos napisal?

EDIT: default NETBIOS port sem dal kot primer, ker je nekdo omenil, da je vpogled v layer 4 header ze nezakonit.



100Mbps / število uporabnikov oz. na podlagi prometa plus nekaj rezerve.

Eno je blokirat aplikacije po portu drugo pa na podlagi vsebine podatkov.
Vaša inštalacija je uspešno spodletela!

Mavrik ::

Kje pa je meja te po tvoje?

BlueRunner reče da je vpogled v TCP header (kjer je napisan port) prav tako nezakonit. Kako boš "zaprl port"? In če lahko "zapreš port" zakaj je potem problem blokirati BT protokol z blokado praktično vsega nad 1024?

Pa dalje... a ste prepričani da se BT ne upočasni zaradi lastnosti prenosa preko UMTS omrežja in zaradi tega ker ste za striktnim NATom?
The truth is rarely pure and never simple.

BlazP ::

Imas 50 baznih postaj. 47 jih je povezanih s 100Mbps uplinkom, dve sta s 16Mbps, ena pa z E1 linkom, torej 2Mbps. Kaksno ponudbo bos napisal?

EDIT: default NETBIOS port sem dal kot primer, ker je nekdo omenil, da je vpogled v layer 4 header ze nezakonit.



100Mbps / število uporabnikov oz. na podlagi prometa plus nekaj rezerve.

Eno je blokirat aplikacije po portu drugo pa na podlagi vsebine podatkov.



Stanujem v kraju kjer je bazna postaja s 100Mbps uplinkom in 20 uporabniki, delam pa na lokaciji z bazno postajo na 100Mbps povezavi in 125 uporabniki. Kaksen paket mi bos prodal? Upostevaj se, da grem vsake toliko k stari mami na obisk ,ki zivi ob bazni postaji z 2Mbps in 50 narocniki. Mi bos navajal ponudbo glede na lokacije kjer se gibam? Bos rekel "nasa najbolj obremenjena bazna postaja ima 2Mbps povezavo in 50 narocnikov, torej garantirano nudimo 40kbps povezavo" ?

ABX ::

Kje pa je meja te po tvoje?

BlueRunner reče da je vpogled v TCP header (kjer je napisan port) prav tako nezakonit. Kako boš "zaprl port"? In če lahko "zapreš port" zakaj je potem problem blokirati BT protokol z blokado praktično vsega nad 1024?

Pa dalje... a ste prepričani da se BT ne upočasni zaradi lastnosti prenosa preko UMTS omrežja in zaradi tega ker ste za striktnim NATom?


Ko zapreš port nič ne gre skozi ta port, tudi če se je Tito podpisal v paket.
Bitorrent lahko dela na vseh portih.

NAT v tem primeru ni kriv za nihanje hitrosti.
Lastnost SiMobil UMTS-a je ta da ima slab upload in malo istočanih povezav.
Vaša inštalacija je uspešno spodletela!

ABX ::

Stanujem v kraju kjer je bazna postaja s 100Mbps uplinkom in 20 uporabniki, delam pa na lokaciji z bazno postajo na 100Mbps povezavi in 125 uporabniki. Kaksen paket mi bos prodal? Upostevaj se, da grem vsake toliko k stari mami na obisk ,ki zivi ob bazni postaji z 2Mbps in 50 narocniki. Mi bos navajal ponudbo glede na lokacije kjer se gibam? Bos rekel "nasa najbolj obremenjena bazna postaja ima 2Mbps povezavo in 50 narocnikov, torej garantirano nudimo 40kbps povezavo" ?


Kaj je to vprašanje za sedmi razred matematike?
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

BlazP ::

"Če nimaš dober uplink, potem spremeniš ponudbo in navedeš hitrost ki lahko dejansko ponudiš. "

Ce si hotel povedati, da je ze sedmosolcem jasno, da zadeva nima smisla, potem bo ze tako.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
!

[P2P]BitTorrent - Naslednja generacija P2P (strani: 1 2 3 435 36 37 38 )

Oddelek: Omrežja in internet
1892291286 (7683) Pesimist
»

Microsoft RickRollal pirate

Oddelek: Novice / Avtorsko pravo
324782 (3069) pegasus
»

Simobil unlimited - omejena hitrost (strani: 1 2 3 )

Oddelek: Omrežja in internet
12510784 (4852) ZdravkoČolič
»

BitTorrent pohrustal μTorrent (strani: 1 2 )

Oddelek: Novice / Ostala programska oprema
919720 (6850) x800xt
»

MPAA na pohodu (strani: 1 2 3 )

Oddelek: Novice / Avtorsko pravo
1114922 (4731) cooolah

Več podobnih tem