Спасибо парни!

Значит пока можно не волноваться на новом месте :)

Пойду учиться

Может у твоего isp тоже аса)

шучу, конечно

Пойду учиться

http://blog.ine.com/2013/09/06/modifying-traceroute-replies/

К примеру

https://habrahabr.ru/post/329244/

у меня есть такой странный вопрос наверное, допустим льется трафик udp много пакетов на хост через роутер, этот хост в attached subnet но cef adjacency для него нет, пакет уходит process switching - IP Input процесс, после arp реквеста хост не ответил в arp - Incomplete, пакет отбрасывается, если такая ситуация происходит с трафиком в пару Гбит/с получим high cpu , но вопрос в том, что после первого arp Incomplete роутер не будет слать arp request на каждый пакет из потока пока в таблице у нас висит Incomplete arp ?

Если аджасенси нет, то пакет уходит в glean (дропается). есть ли arp rate limit - не помню, но подозреваю что да. Проверить тоже несложно, взять несуществующий хост и посмотреть в pcap

Наверняка будет 1 arp в Х времени, а не арп на каждый пакет, который уходит в глин

@dmfigol ок, спасибо, я примерно предполагал что есть какой то лимит по arp для таких случаев но найти не смог, проверю, ну то что каждый пакет такой уйдет в IP Input верно?

Нет.

был 64 ядерный микротик... с десятками... ну сожрал он фуллвью. при 3 гигах трафа от сабскрайберов - одно ядро в полке. остальные дрочат...

Такого тика в природе не было. Субскрайберы не жрали ваш цпу роутингом, это был бгп. Остальная маршрутизация мультитредится по ядрам

то есть будет glean adjacency держаться все время и он по cef будет отброшен?

Верно

Glean всегда есть для подсети

http://www.cisco.com/c/en/us/support/docs/routers/7500-series-routers/41160-highcpu-ip-input.html вот тут указано как одна из причин Traffic that cannot be interrupt-switched arrives A lot of packets, that arrive at an extremely high rate, for a destination in a directly attached subnet, for which there is no entry in the Address Resolution Protocol (ARP) table. This should not happen with TCP traffic because of the windowing mechanism, but can happen with User Datagram Protocol (UDP) traffic. To identify the problem, repeat the actions suggested in order to track down a spoof attack.

Я не думаю что так будет

Можно было бы сделать high cpu отправляя пакеты в никуда

Можно было бы сделать high cpu отправляя пакеты в никуда

сложно таргетить

ну у меня в практике подобное встречалось, по описанию оч похоже) просто реальные приложения так делать не будут, а вот крафтом пожалуйста, ок, спасибо, попробую проверить

сложно таргетить

В смысле сложно? Подсеть знаешь и всё

я слышал от кого-то байку, что в крупных isp ставят отдельный роутер куда надо роутить траф, который надо дропнуть, типа так меньше роутер загружен, чем если в null0

это так ?

а он что с этим трафом делает?

null0

уже на нем

типа там весь траф в null0 боевого нет

null0 это крутой workaround , там идет насколько знаю по cef отброс

нет проброса на процессор

ну и многие подобные решения тоже лучше дружат с таким блекхолом, затраты только на interrupt, но роутить на другой девайс чтобы сделать тоже самое мне кажется это странно

это так ?

не встречал

Нашел фотку, когда в вс рф служил. Тарифы на проводный интернет в 2011 году в Хабаровске

тариф черепашка радует)))

Такого тика в природе не было. Субскрайберы не жрали ваш цпу роутингом, это был бгп. Остальная маршрутизация мультитредится по ядрам

Ок, 72))

Такого тика в природе не было. Субскрайберы не жрали ваш цпу роутингом, это был бгп. Остальная маршрутизация мультитредится по ядрам

https://routerboard.com/CCR1072-1G-8Splus вроде оно. Жрало конечно бгп. И в той версии софта оно работало на одном ядре. Гугл в помощь - все искали как с этим жить.

Оно и сейчас так делает

Оно и сейчас так делает

То есть признаете убожество железки?)

"я тут микроскопом гвозди забиваю, получается криво. микроскоп - дерьмо"

То есть признаете убожество железки?)

Это ему нисколько не мешает нормально жить и работать. Просто констатирую факт

"я тут микроскопом гвозди забиваю, получается криво. микроскоп - дерьмо"

Ну если их удел только цпе- то нах делать железку за тогда почти 300 рублей? Мы юзерам 10г домой не даем, а на большее это чудо не годится

ну моя точка зрения, что это CPE на стероидах

если речь про 72-ядерник

ну или, скажем, жирный бордер в предприятии

Как бордер... не. Джуник 80 можно донабить

Включил и забыл..

так же и микротик - включил и забыл, пить-есть не просит

а что от фуллвью бгп у микротика болеет - общеизвестный факт

Ну да. Просто к сожалению заявления тика о производительности надо на 4 делить. А так да.

но да, молотить пакеты это ему не мешает

Ага. Правда при нормальном ппс начинаются затыки из за софтобработки- а так да.

"я тут микроскопом гвозди забиваю, получается криво. микроскоп - дерьмо"

Инн рубит фишку :)

Я то же щас рублю))) за 300 рублей убогий хомроутер.. перебраали))

слушайте, ну вся линейка CCR - откровенные бордеры

просто есть подешевле, а есть подороже

Я то же щас рублю))) за 300 рублей убогий хомроутер.. перебраали))

Нет, вот Вы – не рубите.

и да, самые дорогие модели в линейке могут быть использованы в провайдерских целях

но начнутся проблемы, потому что они все равно бордеры

Эх, у нас купленный оператор полностью на микротиках. А там ospf+mpls+ldp+vpls. Ничего живёт, трафик небольшой

От него и просили: прими фулл, отдай для эсешек дефолт.

один фулл?

1. Там один был

Ттк насколь помню

В одном так-то смысла нет

Хотя бы два

ERROR: S client not available

почему не пригнать уже на микротик дефолт?

и отдельные кастомные маршруты

Щас уже не помню - года 2 прошло. Вроде один. И сняли его именно потому что не работал. Щас попробовали его к гуглокэшу присобачить: начинаются задержки

Там чего то софт обновляли и оно да же поинтереснее работало.. но... нафига козе баян

Да- может софт и допилили. Но софтобработка пакетов... в общем сервак с дпдк рулит.

@moneron а fastpath в этом случае не спасает?

Спасает. Он в принципе ускоряет обработку, но нежный и капризный.

Никаких фаерволов

Никаких коннтрэков

Уточнил. 2 фулла - рт и ттк. Памяти хватало - процесс бгп сдирал одно ядро и вся конструкция не могла выдать больше 2 гиг

а в ппсах не помните сколько? у него по паспорту 6мппс при включенном файрволле

если мелкими пакетами долбать - как раз 2.5г получается

Уже не помню.. оно б и больше выдало - если б не полка в ядро. Это и расстроило. Потом товарищ его к гуглокэшу цеплял - и там полка в 4 гига. Дальше он просто тупит адово

Роутинг щас пофикшен

Кстати, вспомнил, в нем вроде ноутовская память была при вскрытии

Содимм какой то.

Содимм с есс

Ну если с контролем- молчу. Просто в каких то модельках простая вроде шла. Кстати- коллега интересуется- игмп снупинг то сделали? Говорит нету его

Нет, не сделали

С мультиком мт работает хреново, это факт

Ну если с контролем- молчу. Просто в каких то модельках простая вроде шла. Кстати- коллега интересуется- игмп снупинг то сделали? Говорит нету его

Нене, на всех с есс

Нене, на всех с есс

Буду знать) вот снупинг надо. Для домашних пользователей. У кого мультикаст.

Призываю @insoln с его замечательными высказываниями про мультикаст :)

Нашел что с 12 года проблема.

Ну.. я то же щас со скрипом все на хлс тащу)

а я чо? это все пепельняк, blame him!

но да, мультикаст нинужын

А то помню я случаи - компекс на доме - в нем 10 абонов и один с приставкой..

Щас изжили свое - бу 2950 копеечная

На ССР 1072 Не использовать фуллвью. В реальности часто ли он нужен?

кто он? Фулвью? :)

Да. На не транзитном провайдере