|
|
Nói chung công sức lớn nhất thì vẫn là của cái bạn viết ra chopchop, còn Beck-Tews và Ohigashi-Morii thì đáng được gọi là "tips and tricks", vì các bạn ấy chỉ nghịch được với ARP packets thôi, còn packets thuộc loại khác thì chịu thua, e.g., DNS. Việc tìm ra được MIC key trên thực tế chỉ giúp thời gian decrypt giảm xuống 8 phút.
Ở đây mình thấy đóng góp quan trọng nhất và duy nhất của Beck-Tews là việc dùng QoS, và của Ohigashi-Morii là việc dùng MitM attacks để vượt qua TSC.
Ngoài ra, cái one minute của Ohigashi-Morii là sau khi đã bỏ ra 12-15 minutes để tìm MIC key, chứ không phải bụp một phát one minute. Hơn nữa, cái one minute này không khác gì so với cái 4 minutes của Beck-Tews, mà đơn giản là Ohigashi-Morii nhận ra rằng chỉ cần tìm 1 LSB của IVC là đủ, trong khi đó Beck-Tews có lẽ đang "phê" nên cố tìm full IVC.
p/s: nếu là mình thì mình sẽ thử chop 2 bytes một lúc. AP ngày nay chắc handle 1000 ARPs/s không đến nỗi nào.
|
|
|
theory wrote:
Đương nhiên với sự an toàn của bản thân, tôi sẽ chọn public wireless network. Nhưng điều này không trực tiếp cho thấy phải quản lý các public wireless network.
Vậy bạn cho mình hỏi là tại sao tấn công ở public wireless network lại an toàn hơn?
theory wrote:
Dù là "nổi" hay "chìm", bản chất vẫn là "tấn công" và theo binh pháp Tôn Tử, muốn chiến thắng một cuộc chiến, trước hết phải kiện toàn bản thân!
Mình thấy phát biểu này của bạn chẳng ăn nhập gì cả: cái gì mà binh pháp Tôn Tử? Ai phải kiện toàn bản thân? Trong một public wireless network thì cái gì thường là mục tiêu tấn công?
|
|
|
theory wrote:
Mr.Kas wrote:
Dựa vào bài viết này, tớ xin đặt ra một vấn đề là liệu việc dùng Wifi chùa hay là wifi free này để sử dụng cho các mục đích không trong sáng như "lấy cắp thông tin thể tín dụng", "điều khiển mạng botnet", "giao dịch hay là hội thảo những vấn đề nhạy cảm (chỉnh trị, phản động, ...)", ... thì có cách nào ngăn chặn hay không? Nếu ai đã có kinh nghiệm trong việc này có thể cùng tham gia thảo luận để đưa ra biện pháp khắc phục hoặc hạn chế.
Từ đầu topic đến giờ, em thấy mọi người tập trung vào trả lời cho câu hỏi mà chủ topic đặt ra "làm thế nào để ngăn chặn việc sử dụng free wifi cho mục đích nguy hại cho xã hội?". Từ đây em nảy ra một câu hỏi khác: "Liệu việc tìm câu trả lời cho câu hỏi trên có cần thiết không?"
Ví dụ: Một người nào đó định dùng free wifi để:
- "lấy cắp thông tin thẻ tín dụng": Một điều chắc chắn là người đó sẽ không lấy được khi mà web server administrators có ý thức và khả năng nâng cao độ bảo mật của web server do họ quản trị
- "điều khiển mạng botnet": Tương tự như trên, nếu độ bảo mật của hệ thống tốt thì họ cũng khó làm được.
- "giao dịch hay là hội thảo những vấn đề nhạy cảm (chỉnh trị, phản động, ...)": Lúc này, lại là vấn đề nhìn nhận của người nhận thông tin đó. Bởi vì, nếu thông tin phản động không truyền từ free wifi thì cũng có thể truyền từ vô số con đường khác.
Từ những ví dụ trên, em đi đến kết luận câu hỏi "làm thế nào để ngăn chặn việc sử dụng free wifi cho mục đích nguy hại cho xã hội?" không cần thiết phải trả lời mà hãy dành thời gian nâng cao bảo mật ở những hệ thống mà chúng ta quản trị
Vài ý kiến đóng góp!
Ah, giả sử bạn là một hacker muốn tấn công một hệ thống. Bạn có 3 lựa chọn: một là tấn công từ ở nhà, hai là tấn công từ một mạng wired network ở cơ quan, ba là tấn công từ một public wireless network, vậy bạn chọn cái nào? Trả lời câu hỏi này bạn sẽ hiểu ngay tầm quan trọng vấn đề này.
Ngoài ra, việc "lấy cắp thông tin thẻ tín dụng", "điều khiển mạng botnet", etc. mới chỉ là bề nổi của các vấn đề, bề chìm của nó vẫn còn chưa được nhắc đến ở đây, bạn thử suy nghĩ xem là gì.
|
|
|
myquartz wrote:
- Luật đó thì ko cụ thể, nhưng nói chung khi xảy ra chuyện, bên công an họ sẽ lần ra dấu vết của quán cafe đó, họ sẽ phỏng vấn chủ quán và nhân viên, hỏi khách hàng nào, đã ra vào ra sao, dùng máy tính thế nào, mô tả nhận dạng... Nói chung là phiền phức và có thể chủ quán sẽ bị điều tra (biết đâu anh ta chính là thủ phạm...). Trách nhiệm liên đới là thế. Cái này nhiều chủ quán Internet đã dính đòn, khi việc đó liên quan đến an ninh quốc gia, bên an ninh họ tới bê nguyên cả dàn máy tình về, kiểm tra từng ổ cứng, kiểm tra xem chủ quán có ghi lại số CMND... của khách không, chỉ mặt từng ông khách...
- Việc đó ngăn chặn được ai đó muốn tạo virtual server một cách bừa bãi, ko có pass đó thì quên việc tạo VS đi.
- Kiểu dùng ở nhà hay cơ quan khác với kiểu ở quán cafê hay là Hotel, đơn giản vì tập hợp người sử dụng là tương đối ổn định, biết mặt biết tên. Ở Hotel hay cafe, thì khách vãng lai, nhiều loại wifi client khác nhau. Do đó giải pháp áp dụng security cho 2 trường hợp này khác nhau. Bài này nói về kiểu Hotel hay cafe nên về security hiện chưa có gì nhiều để mà nói.
- Bạn myquartz hình như nhầm lẫn về cái từ liên đới. Vậy mà mình cứ tưởng là mạng của mình bị lợi dụng tấn công thì mình cũng bị phạt tù cơ đấy. Việc bị dính dáng vào các vụ điều tra là chuyện đương nhiên, sao bạn gọi đấy là trách nhiệm liên đới. Nhà mình bị trộm, công an đến điều tra vài ngày, thế cũng là trách nhiệm liên đới à?
- Ồ, bây giờ mình mới nhớ lại, mình có đến một sân bay, ở đó họ áp dụng cái gọi là "giải pháp" của bạn. Password họ đặt đại loại là j3g4ou@4/yshq14ui. Mình lúc đầu vào thì cũng không biết làm gì, sau đó mình tới một quán café, mua một cốc, rồi hỏi anh chàng nhân viên. Thế là anh ta ngay lập tức xé một mẩu giấy rồi ghi ra ngay cho mình. Điều ngạc nhiên nhất là anh ta ghi cái đoạn password ở trên ra giấy mà không cần nghía vào đâu cả. Mình định hỏi anh ta làm sao mà hay vậy, nhưng vô tình quay ra nhìn vào trong quán, thấy khách gần như kín các bàn, thì mình đã hiểu.
- Ở cơ quan, biết mặt biết tên thì sao nhỉ, nghĩa là không có ai dám thực hiện tấn công à, hoặc người đó không dám thuê người khác tấn công dùm à? Mình cho rằng bạn hơi ngây thơ khi suy nghĩ như vậy. Thậm chí mình cho rằng ở các cơ quan bao giờ các security mechanisms cũng nhiều hơn ở nơi công cộng.
|
|
|
myquartz wrote:
Wifi chỉ là công cụ kết nối tương tự mạng LAN, chỉ khác là nó không có dây. Việc bảo mật nó là trách nhiệm của chủ cái mạng WLAN đó, họ cho phép/không cho phép, dù vô tình hay hữu ý để mạng WLAN và kết nối ADSL của họ bị lợi dụng, để làm phishing hay bất cứ thứ gì (kể cả kết nối outbound tấn công 1 site nào đó), thì họ phải chịu trách nhiệm liên đới (nếu có việc xảy ra).
Về cái việc mở Inbound hay Virtual Server, kỳ thực dễ chống lắm, chỉ cần thay đổi mật khẩu mặc định của router/gateway kết nối Internet thành 1 chuỗi khó đoán là được.
Còn bảo mật riêng cái Wifi, kiểu như để người nhà mình hay cơ quan xài thay cho LAN, thì nên nói ở một mục khác. Cái này nó tuỳ theo điều kiện, loại client mà mình phải phục vụ và mức độ an toàn cần thiết.
---> Bạn myquartz thử ví dụ cho mình xem điều luật ở đâu đó quy định việc chịu liên đới nếu như mạng (hoặc máy tính) của ai đó bị lợi dụng để thực hiện tấn công. Mình mù tịt về chuyện này nên cũng muốn biết rõ.
---> Vậy cái này ngăn chặn được ai đây?
---> Thế còn "kiểu" gì nữa, tại sao phải nói ở topic khác? Vậy cái "kiểu" ở topic này là "kiểu" gì?
|
|
|
huynh wrote:
theo e hiểu thì Load Banlancing đối với server là cân bằng tải giữa 2 server, vd HVA có 1 server bên Mỹ và 1 bên Nhật, khi có 100 người truy cập thì Load Banlancing có nhiệm vụ chuyển 50 người truy cập qua bên server Mỹ, 50 người qua server bên Nhật. (cái này theo ý hiểu cá nhân có j sai mong các bác chỉ bảo)
nhưng mục đích của e ở đây muốn hỏi là em dùng 2 line adsl cho client thì có cách gộp tốc độ download của 2 line adsl ko? vd line VNN là 3MB, line viettel là 2MB thì tổng download có đc 5MB ko?
nếu có thể làm đc thì dùng phần mềm nào, hay phần cứng nào?
Nhiệm vụ bất khả thi. TCP không support multi-homed network. Nếu bạn download một file 100MB thì mất 100/3 = 33.3s. Nếu bạn download một file 60MB và một file 40MB thì mất 60/3 = 40/2 = 20s.
hkvn wrote:
Phần mềm này mang đúng nghĩa "phần mềm". Nghĩa là k0 dùng bất kỳ 1 phần cứng của hãng nào khác cả. Chỉ cần n line DSL + n DSL Modem. Vậy thôi smilie.
Phần mềm này chắc biết làm phép quá. Còn nữa, cái mô hình ở cái link của bạn mình chả hiểu mô tê gì cả. Bạn hkvn có thể giải thích giúp mình không.
|
|
|
Jino_Hoang wrote:
Có cả web rao vặt chắc bồ làm ăn khá nắm nhỉ.
Bồ gởi cho tui vài trăm USD rùi tui hướng dẫn cho.
Đùa vậy thui, nếu bồ mún phòng chống thực sự thì lên thuê chuyên gia bảo mật hoặc lên hệ với ISP để được hỗ trợ.
Còn không thì nên học bảo mật đi, dân CNTT VN chán ở chỗ được cái nọ hỏng cái kia.
Mình góp ý vậy thôi.
Bây giờ trăm ngàn loại Server rùi cả Web ai mà biết hết được để hướng dẫn cho bồ.
Vậy nha.
Ối, dân CNTT VN mà được như thế thì tình hình đã khá hơn nhiều. Đáng tiếc là ai cũng muốn làm Biết Tuốt.
@motmang: mình khuyên bạn nên thuê expert về vấn đề này để họ tư vấn trực tiếp cho, vì đây là web thương mại. Tự mình bạn làm có thể hỏng chuyện.
|
|
|
rs wrote:
Theo mình thấy, nếu làm về mạng Cisco chỉ cần hiểu cơ bản TCP/IP, rồi đọc tài liệu Cisco là đủ rồi. Không biết ý bạn SG chạy nhanh chạy chậm hiểu như thế nào nhỉ?
Cái này mình kêu bằng biết, không phải hiểu.
Mình không quan tâm là học chậm hay học nhanh, đọc chậm hay đọc nhanh, mà là tốc độ phát triển về kiến thức chậm hay nhanh.
@newbieProIT: mình khuyên bạn quên phắt các bài viết trên diễn đàn đi, và cũng quên phắt network programming đi. Những thứ đó hoặc bạn chưa đủ trình với tới, hoặc chúng chưa đủ trình để dạy bạn.
Bạn học cái gì phải hiểu cái đó, chỉ biết nó trông thế nào hoặc biết nó hoạt động ra sao thôi thì chưa đủ, và tất yếu sẽ dẫn đến việc quên nhanh chóng.
|
|
|
Kinh nghiệm:
- nếu bạn muốn chạy nhanh sau đó chạy chậm thì đọc các giáo trình của Cisco.
- nếu bạn muốn chạy chậm xong rồi chạy nhanh thì đọc TCP/IP illustrated.
- nếu bạn muốn chạy cực kì chậm sau đó vọt đi thì bắt đầu bằng wikipedia, nhưng nhớ là đừng có đọc gì nhiều trong đấy, cứ tìm các reference về RFC rồi truy ra tài liệu RFC mà đọc. Trong RFC lại có các references khác, cứ thế truy ra đọc.
Đây là lời khuyên của mình cho người muốn hiểu, chứ không phải muốn biết.
|
|
|
myquartz wrote:
2 điểm này cần nói thêm là:
- MTA và MUA của 1 tổ chức mới xác thực với nhau, hoặc là của ISP với khách hàng của ISP đó. Chứ còn của 2 công ty partner với nhau để xác thực user+password với nhau thì trao đổi "pass" hơi mệt đấy.
- MUA với MTA chỉ cần sử dụng SMTP with START-TLS hoặc là SMTP over SSL là đảm bảo toàn vẹn, bí mật và MUA xác thực được MTA là ai qua SSL cert. Còn MTA xác thực MUA là ai thì bằng user+pass. Như thế đã được coi là trusted rồi, không cần thêm VPN làm gì cho rắc rối. Telnet chỉ là demo thôi, nếu muốn tớ ... telnet over stunnel là được chứ gì?
Mình chưa hiểu cái sự "thêm" này của bạn là thêm cái gì vào 2 điểm trên của mình.
Hơn nữa, nói về sự uyển chuyển, mình còn chưa thấy cái mô hình của bạn uyển chuyển hơn webmail hoặc "pop before smtp" ở chỗ nào.
p/s: bạn myquart cứ đến khi nào thảo luận hơi căng một tí là lại out. Mình thấy cái thảo luận này chả có gì là đi xa khỏi topic title cả.
|
|
|
conmale wrote:
Trong trường hợp này đó là mối liên quan giữa "sending MTA" và "receiving MTA" (như mô hình bên dưới) chớ không phải giữa "sending MUA" và "receiving MTA" hoặc "sending MTA".
sending MUA ---> MSA ---> sending MTA ---> receiving MTA ---> MDA ---> receiving MUA.
Good point. Về cơ bản thì SMTP-AUTH chỉ nên dùng trong trusted environment, hơn nữa, việc gửi credential cho smtp server cũng đi hơi lệch với design. Tuy nhiên, nếu MTA thỏa mãn các điểm sau thì có thể chấp nhận được:
- MTA đó thuộc sự quản lý trực tiếp của chủ mail server mà client thường login vào để đọc mail, với cùng username+password.
- Việc login của MUA từ untrusted network phải thỏa mãn mutual authentication, sử dụng TLS/SSL. Đây là biện pháp tạo nên cái gọi là trusted environment ở trên. Tất nhiên việc dùng Telnet là không thể chấp nhận được, trừ phi client thiết lập VPN đến trusted environment.
- MTA phải có cơ chế cho phép một authenticated user chỉ được gửi email từ một số email nhất định. Ví dụ: user Alice chỉ được gửi email từ alice@abc.com.
|
|
|
@conmale: vừa đọc qua post đầu tiên của myquartz, em thấy vấn đề chính là ở việc xử lý SMTP-AUTH của qmail. Cụ thể như sau (dựa vào posts của myquartz):
Alice có email là alice@abc.com login sử dụng SMTP-AUTH vào qmail server là smtp.abc.com để gửi email đi bob@def.com. Quá trình này về mặt nguyên tắc là đúng.
Tuy nhiên, qmail server smtp.abc.com lại hoạt động như sau: đầu tiên nó check IP của Alice xem có nằm trong RBL hay không, rồi sau đó mới sử dụng SMTP-AUTH để authenticate Alice. Như vậy nếu IP của Alice (e.g., home ADSL connection) nằm trong RBL, thì qmail server sẽ reject Alice ngay lập tức mà không nghĩ đến việc Alice là client của mình (alice@abc.com), và có cả login credential hẳn hoi. Có lẽ đây là lý do bạn myquartz cho rằng:
myquartz wrote:
Qmail + RBL không phân biệt được MUA với MTA trong trường hợp này, dù cả MUA lẫn MTA đều dùng SMTP nhưng MUA có AUTH LOGIN trước mọi cái khác.
Như đã đề cập ở trên, liệu qmail tệ đến vậy chăng, hay là có chút sơ sót trong khâu configuration?
|
|
|
conmale wrote:
Nếu Alice đang dùng một máy có network không thuộc network "white list" mà access MTA này thì nó phải reject bởi vì đây là nguyên tắc không cho phép open relay. Cách duy nhất và tạm gọi là "reliable" là cách cho phép Alice "pop before smtp", đây là một cách buộc Alice phải authenticate xuyên qua pop3 (nhận mail) trước khi tạm thời open relay để Alice có thể gởi mail (xuyên qua smtp) vào qmail (rồi qmail mới gởi mail của Alice đến một MTA khác là đích).
Nếu SMTP server đó có implement SMTP-AUTH thì cũng là một giải pháp vậy. Tuy nhiên không biết qmail có cái extension này không. Nếu không có thì đúng là phải authenticate qua pop3 rồi. Phải chăng đây là lý do bạn myquartz không thích dùng qmail.
|
|
|
myquartz wrote:
- Xét điểm 3 và 4: user của em là thuê bao ADSL, Dynamic IP, mà dải đó bị RBL.
Họ gửi mail cho 1 ai đó. MUA sẽ kết nối đến mail server, sau chuỗi lệnh: EHLO xxx, AUTH LOGIN .... bị reject luôn vì RBL (giống như cái telnet em paste trước đó).
Thế là họ khỏi gửi luôn => complaint. Đúng ra thì sau khi AUTH LOGIN, user của em được relay thoải mái.
Qmail + RBL không phân biệt được MUA với MTA trong trường hợp này, dù cả MUA lẫn MTA đều dùng SMTP nhưng MUA có AUTH LOGIN trước mọi cái khác.
Tại sao Qmail lại thế thì các post trước của em đã nói. Em dùng Postfix thì xử lý được vấn đề trên.
Theo mình hiểu thì ý bạn myquartz là ví dụ như bạn Alice có email là alice@abc.com tiến hành login vào server smtp.abc.com để gửi email từ alice@abc.com đi bob@def.com. Tuy nhiên, con server stmp.abc.com lại reject bạn Alice vì IP của bạn Alice nằm trong RBL.
Trường hợp này thì rõ là con server đó sai, nhưng mình không nghĩ là qmail lại tệ đến vậy, mặc dù mình chưa bao giờ dùng qmail. bạn có chắc là bạn configure đúng không?
Ngược lại, nếu ý của bạn myquartz là bạn Alice connect trực tiếp đến smtp.def.com, thì rõ ràng là sai nguyên tắc, như anh conmale đã đề cập.
|
|
|
quanta wrote:
nxthao wrote:
@quanta : Bonding : combine multiple network ports into a single group, effectively aggregating the bandwidth of multiple interfaces into a single connection
Vậy ứng dụng trong trường hợp này là nó để làm gì? Bonding hoạt động ở layer mấy? Nói đến bonding là trong LAN hay ngoài WAN nhỉ?
@nxthao: Cái này nghe giống EtherChannel của Cisco nhỉ. Còn cái vụ 10 packets, 3 cái qua ADSL, 7 cái qua fiber thì mình đề nghị bạn nghía qua cái topic của mình ở /hvaonline/posts/list/28875.html.
|
|
|
pdah wrote:
Có nhiều người cũng giải ra được mà anh, em ko dám múa rìu đâu hehe
Hơn nữa sau khi share cái file HTML cho một vài bạn làm thì thấy các bạn dùng debugger khá nhiều, em chủ yếu viết code để decode nên cách làm dài dòng lắm. Ví dụ như bước đầu tiên, em viết 1 đoạn script để đọc được mã us-ascii thì bạn em nó dùng IE, open + save as là xong.
Ồ, thế mới là tốt chứ bạn. Bạn viết code bằng asm hay sao mà sợ dài dòng Ngay đến C cũng chỉ vài dòng thôi chứ nhiều nhặn gì đâu. Quan trọng là phần explanation của bạn thôi. Có những cái mà nhiều người dùng tool thì sẽ không lý giải được.
|
|
|
Phá và ngăn chặn : khóa mã bảo mật WEP trên định tuyến không dây.
Bạn lên citeseer, citeseerx search với từ khóa wep sẽ ra hết các papers quan trọng. Đây là kinh nghiệm của mình vậy. Bao giờ bạn đọc hoài không hiểu thì đưa lên đây thảo luận, và tất nhiên bạn phải chứng minh được công sức mình bỏ ra thì may ra mới có người giúp đỡ.
|
|
|
Bạn ơi, thế nào là góp ý? Góp ý tức là bạn phải đưa ra cái gì mình làm ra rồi người khác cho ý kiến. Chứ đằng này bạn lại vào kêu gọi mọi người đóng góp, như vậy là đi ngược lại với cái gọi là "nghiên cứu". Vậy thì mình đảm bảo sẽ không nhận được nhiều "góp ý" đâu. Hơn nữa, giả dụ bây giờ mình có 1000 cái kinh nghiệm xương máu, thế mình vào đây tống hết ra à.
Mình khuyên bạn nên tự tìm hiểu vấn đề, và chỉ nên lên đây thảo luận khi đã có một mô hình cụ thể.
|
|
|
skz0 wrote:
lạc hướng ở chỗ nó đâu có implement việc gửi lại TCP Segments trực tiếp cho receiver. Mỗi đầu đều phải có 1 WAE đóng vai trò làm TCP Proxy.
--0
Ồ, vậy cái WAE kia không làm nhiệm vụ gửi lại TCP segments à? Nếu vậy thì sao gọi nó là TCP proxy được. Còn nếu nó làm nhiệm vụ gửi lại TCP segments thì thảo luận trên cũng không có gì sai lệch.
Mình đọc sơ qua cái link của bạn skz0 thì, ngoại trừ những thứ khác, các optimizations về TCP thì chả có cái nào mới mẻ, tất cả đều có trong các OS. Improvement, có chăng, thì là do WAE là dedicated device nên có thể nó làm tốt hơn là PCs.
|
|
|
@skz0: SACK là gì mà bạn gọi nó là TCP Proxy? Và TCP Proxy là gì?
SACK đâu có liên quan gì đến việc gửi lại TCP segments từ router đâu nhỉ? SACK được implemented ở mọi nơi bạn ạ.
Quả thật mình vẫn chưa hiểu rõ Cisco làm thế nào mà bạn lại cho rằng thảo luận này đi lạc hướng. Bạn có thể chỉ rõ hơn không.
|
|
|
thangdiablo wrote:
StarGhost wrote:
Ồ, cái này thì đơn giản thôi: có một điều chắc chắn rằng intermediate systems không thể biết được TCP congestion control được sử dụng ở endpoints ra sao, thế nên việc tự ý retransmission sẽ dẫn đến packet duplications. Packet duplications sẽ dẫn đến duplicate acknowledgements. Nếu nhiều duplicate acknowledgements sẽ dẫn đến việc TCP thắt chặt sliding windows, và cuối cùng là dẫn đến giảm tốc độ truyền dữ liệu. Ngoài ra, packet duplications còn dẫn đến các vấn đề về pricing.
Trên thực tế thì không phải lúc nào cũng như vậy, và tùy vào môi trường lẫn configuration, nhưng không có nghĩa là nó không thể xảy ra.
Duy có một ngoại lệ của việc retransmission ở intermediate systems là trong Wireless LAN, do BER và FER là tương đối lớn. Tuy nhiên, việc retransmission này không có vấn đề là vì: thường không có vấn đề về pricing, retransmission diễn ra ở data link layer, retransmission diễn ra trong local loop nên không tạo ra nhiều ảnh hưởng đến network.
Nếu như packet từ Endpoint khi được gửi xuyên qua intermediate systems ( trong trường hợp cụ thể này là thiết bị Cisco có gắn module WASS ). Thiết bị WAAS này sẽ có trách nhiệm lưu giữ tạm thời và đánh dấu những gói này trên NVRAM.
Sau 1 khoảng thời gian nếu không thấy phía bên kia báo thiếu thì những gói lưu giữ tạm thời này sẽ bị hủy.
Còn nếu thiếu nó sẽ tự động gửi lại thay vì chờ Endpoint.
Theo StarGhost thế có ổn không?
Vậy:
- Cái "1 khoảng thời gian" đó là bao lâu, so với "1 khoảng thời gian" ở sender ra sao?
- "Báo thiếu" là như thế nào? Có hai cách để báo thiếu, thứ nhất là không gửi ACK, thứ hai là gửi duplicate ACKs.
Trong trường hợp receiver không gửi ACK, Cisco router sau khi chờ "1 khoảng thời gian" sẽ gửi lại packets. Giả sử ngay sau khi router gửi lại packet đi thì nó cũng nhận được packet đó được gửi lại từ phía sender, vậy nó phải xử lý packet đó ra sao? Mình nghĩ nó phải loại cái packet này, nếu không sẽ tạo ra tình trạng duplicate packets mình đề cập ở trên.
Tương tự, khi router nhận duplicate ACKs từ phía receiver, nó cũng sẽ gửi lại packets. Vậy số duplicate ACKs này nó sẽ xử lý ra sao? Chắc cũng phải loại bỏ thôi, không cho chạy về phía sender, nếu không cũng sẽ tạo ra tình trạng duplicate packets mình đề cập ở trên.
Vậy thực chất là cisco router đã thay thế sender để thực hiện nhiệm vụ congestion control.
Bây giờ mình lập luận thế này: mục tiêu của việc retransmit packets ở router là để đỡ cho khoảng thời gian packet được retransmit từ sender cho đến router CỘNG VỚI (optionally) khoảng thời gian duplicate ACKs chạy từ router về sender. Như vậy, nếu muốn hiệu quả cao, router phải đặt ở đâu đó càng gần receiver càng tốt. Trong trường hợp đó, có thể có rất nhiều senders gửi đến receiver, router này sẽ phải làm nhiệm vụ congestion control cho tất cả các senders đó.
Vậy thiết bị chắc là đắt tiền lắm mới làm nổi, vì congestion control, nói về mặt computing requirements, là đắt hơn routing và switching rất rất nhiều. Chưa kể đến việc router phải store hết đám packets vào memory như mrro đề cập, rồi phải thực hiện lookup. Đám packets này sẽ lớn hơn rất nhiều so với queuing trong routers và switches, bởi vì RTO thường thì ít cũng phải nửa giây.
Ngược lại, nếu router chỉ nằm ở mức gateway của sender, như vậy khoảng cách giữa sender và router rất nhỏ, dẫn đến hiệu năng của giải pháp trên là vô cùng bé, không tạo ra sự khác biệt gì.
Bây giờ mình thử attack cái router đó như sau: giả sử mình biết là đằng trước mình có cái router gắn WAAS. Mình lại có vài cái computers ngoài Internet. Đầu tiên mình thiết lập hàng loạt TCP connections đến các computers đó. Sau đó mình tắt phụt chúng đi (technically), và tiến hành gửi liên tục packets đến các computers bên ngoài. Vì sẽ không có ACK gửi lại, cái router sẽ chứa tất cả packets của mình, rồi cứ thế fill up lên, chẳng mấy chốc bị đầy. Không biết rồi nó xử lý ra sao đây?
|
|
|
@constructor_87: thế còn những queries như DROP, INSERT, UPDATE thì có lỗi thời không bạn? Sao lại thấy cái gì cứ mã hóa là chịu thua vậy?
|
|
|
thangdiablo wrote:
StarGhost wrote:
@thangdiablo: việc IP address có bị thay đổi hay không đâu có phụ thuộc vào thiết bị của Cisco hay là công nghệ gì gì đó. Vì vậy mình nghĩ quanh đi quẩn lại vẫn là VPN thôi.
Hi StarGhost: Bạn đọc kỹ lại bài mình viết.
Mình đâu có nói việc IP bị thay đổi do thiết bị Cisco. Để mình giải thích lại thế này.
Giả sử mình có 2 Peer HN và SG.
Trên 2 peer này mình sử dụng Cisco Router có module WAAS.
Giữa 2 peer này là của nhà cung cấp. Họ dùng gì ở giữa thì tùy ( có thể là Cisco, có thể là Nortel, có thể là Dlink ... )
Bây giờ 1 gói tin đi ra từ trong LAN của HN tới LAN của SG. Trên Router của 2 peer này tất nhiên là có apply các chính sách mã hóa và toàn vẹn dữ liệu cho gói tin.
Vậy nếu gói tin đi từ LAN của HN được giữ nguyên cho tới khi chuyển ra khỏi cái Router HN và đi tới nhà cung cấp đường truyền, tới đây nhà cung cấp thực hiện NAT cái gói tin và chuyển tới peer SG. Vậy thì khi Router SG, gói tin gửi đi từ A sẽ bị drop vì không còn đảm bảo tính toàn vẹn.
Còn tại sao mình lấy ví dụ 2 peer HN & SG lại là Router Cisco vì cái topic này đang đi vào vấn đề WAAS của Cisco.
Cái này thì mình không rõ vì mình không có cơ hội dự cái hội thảo gì đó, nhưng mà mình đoán rằng cái sự transparent ở đây là đối với communication endpoints thôi, chứ không phải đối với intermediate systems như Cisco routers, nên mình nghĩ là họ sử dụng tương tự VPN tunnel thôi, chứ không có gì fancy cả.
thangdiablo wrote:
StarGhost wrote:
Còn về cái trò "Tự động lưu và phát lại gói tin của giao thức TCP bị mất trên đường truyền thay vì đợi source host gửi lại", mình cho rằng khá là mạo hiểm.
Bạn có thể phân tích thêm lí do mạo hiểm được không? Mình cũng đang muốn hiểu thêm về vấn đề này.
End-to-end argument là một trong những vấn đề cốt lõi của networking. Việc sử dụng đặc điểm trên đòi hỏi sự hiểu biết sâu sắc về network operation theo một cách khoa học (scientifically). Nếu không sẽ dẫn đến các hậu quả thảm hại. Mình không nghĩ là nhiều network admin hoặc engineer có khả năng này, nên việc Cisco đưa cái này vào mình cho là không phù hợp.
Mình thì lại không đồng ý với quan điểm này. Việc Cisco đưa ra các Module tối ưu hóa dữ liệu đi từ mạng nội bộ xuyên qua nó trước khi ra bên ngoài một cách tự động và có thể cấu hình 1 cách trực quan là điều tốt.
Tuy nhiên mình vẫn muốn nghe bạn giải thích những trường hợp có thể gây ra hậu quả thảm hại.
Ồ, cái này thì đơn giản thôi: có một điều chắc chắn rằng intermediate systems không thể biết được TCP congestion control được sử dụng ở endpoints ra sao, thế nên việc tự ý retransmission sẽ dẫn đến packet duplications. Packet duplications sẽ dẫn đến duplicate acknowledgements. Nếu nhiều duplicate acknowledgements sẽ dẫn đến việc TCP thắt chặt sliding windows, và cuối cùng là dẫn đến giảm tốc độ truyền dữ liệu. Ngoài ra, packet duplications còn dẫn đến các vấn đề về pricing.
Trên thực tế thì không phải lúc nào cũng như vậy, và tùy vào môi trường lẫn configuration, nhưng không có nghĩa là nó không thể xảy ra.
Duy có một ngoại lệ của việc retransmission ở intermediate systems là trong Wireless LAN, do BER và FER là tương đối lớn. Tuy nhiên, việc retransmission này không có vấn đề là vì: thường không có vấn đề về pricing, retransmission diễn ra ở data link layer, retransmission diễn ra trong local loop nên không tạo ra nhiều ảnh hưởng đến network.
|
|
|
@thangdiablo: việc IP address có bị thay đổi hay không đâu có phụ thuộc vào thiết bị của Cisco hay là công nghệ gì gì đó. Vì vậy mình nghĩ quanh đi quẩn lại vẫn là VPN thôi.
Còn về cái trò "Tự động lưu và phát lại gói tin của giao thức TCP bị mất trên đường truyền thay vì đợi source host gửi lại", mình cho rằng khá là mạo hiểm.
End-to-end argument là một trong những vấn đề cốt lõi của networking. Việc sử dụng đặc điểm trên đòi hỏi sự hiểu biết sâu sắc về network operation theo một cách khoa học (scientifically). Nếu không sẽ dẫn đến các hậu quả thảm hại. Mình không nghĩ là nhiều network admin hoặc engineer có khả năng này, nên việc Cisco đưa cái này vào mình cho là không phù hợp.
|
|
|
Mình nghĩ vấn đề này là do đường truyền phía các bạn. Trong một số trường hợp cookie bị lỗi trong quá trình di chuyển từ phía máy chủ về trình duyệt dẫn đến việc bạn đã login với mật khẩu đúng nhưng session không được chấp nhận. Đây không phải là vấn đề thuộc về phía máy chủ vì mình rất hiếm khi bị cái này, thỉnh thoảng ra chỗ nào mạng kém mới bị.
|
|
|
@quanta: mình không phải là cao thủ perl hay python, lại càng không phải là một admin, thế nên khó mà đưa ra một ví dụ tốt.
Tuy nhiên, mình thử đưa ra một vấn đề sau: một server admin cần quản lý xem những "nơi nào" có quyền truy cập vào server thông qua SSH. Để cho tiện, admin tạo một file danh sách những "nơi" được quyền kết nối đến SSH port của server, và chỉ những nơi đó được phép, còn kết nối từ tất cả các "nơi" khác đều bị blocked. Có 2 yêu cầu sau:
- Mỗi lần muốn thêm bớt hoặc sửa đổi danh sách, việc DUY NHẤT mà admin đó cần làm là edit cái file danh sách.
- Quá trình filter phải support những nơi mà kết nối từ đó thông qua NAT.
Vậy các bạn thử xem nếu dùng perl thì ra sao, mà python thì ra sao. Lưu ý là nếu chỉ perl và python không thì chắc là không làm nổi. Tuy nhiên, thử đặt mục tiêu là làm sao hạn chế việc sử dụng những thứ khác (ngoài việc sử dụng perl/python) càng ít càng tốt.
|
|
|
Các bạn cao thủ perl với python viết dùm mình chương trình tính 2^(2^24)
Ai đời quảng cáo perl với python mà cứ lấy ví dụ tính toán ra mà câu hàng. Người ta đang xét trên góc độ admin thì các bạn nên lấy những ví dụ mà một admin cần, chứ ai tính toán mà dùng perl với python thì chỉ có dại.
|
|
|
|
|
|
|