Архитектуру интернета хотят переделать

>> Конечно им казалось, что IP итак слишком сложен. ;)

И никто бы даже не подумал, что ICMP это чистая халява для хакера в некоторых ее ипостасях )))

И потому в винде в SP2 по-умолчанию ICMP весь закрыт. Как результат - flow control в IP не работает, так как он через ICMP реализован. На выходе имеем неконтролируемые шквалы UDP пакетов от клиентов, неэффективные потери пакетов на шейперах, которые вынуждены это резать, перепосылку UDP пакетов клиентами и так по кругу. TCP еще туда-сюда, но UDP - смерть. В результате несколько сотен зараженных клиентов в локалке могут убить шлюз в интернет.

> и чем ему не угодил теперяшний интернет.

Очень много надстроек над TCP/IP, которие можно интегрировать в протокол (VPN и ssl например).

vlTepes (Score: 52 MaxScore: 53) (*) (05.07.2005 16:31:57):

> И потому в винде в SP2 по-умолчанию ICMP весь закрыт. Как результат - flow control в IP не работает, так как он через ICMP реализован.

Все, проблему понял!

От комментариев воздержусь...

>мы с Вами платим за входящий трафик.
Платим исключительно по желанию Транстеле/РТ-комов. В буржуации уже давно не трафик, а связность продают...

Ну это всё дядя билл виноват Будет инеты 1 2 3 4 5 ..... И были всякие мурипуринеты токен ринги А юдип ненада запрешать нада дядю билли убить

>Все, проблему понял! От комментариев воздержусь... Die-Hard ***** (*) (05.07.2005 19:54:43)

Отчегож?Было бы интересно послушать ваши комментарии. Может вы скажете, что в IP есть свой собственный встроенный в него flow control?Или станете отрицать, что 80 ато и все 90% рабочих станций это винды, а в России- WinXP?Заставлять каждого юзера менять настройки встроенного в Sp2 firewall?

> Или станете отрицать, что 80 ато и все 90% рабочих станций это винды, а в России- WinXP?Заставлять каждого юзера менять настройки встроенного в Sp2 firewall?

Не знаю, что хочет сказать Die-Hard, но я замечу, что Microsoft уже не в первый раз выпускает деструктивный по своей природе софт. Или напомнить, хотя бы историю с запросами на апдейт баз dns в Windows2000? Еврокомиссии стоило бы оставить в покое WMP и обратить внимание на подобные фокусы.

vlTepes (Score: 52 MaxScore: 53) (*) (06.07.2005 11:19:07):

> Может вы скажете, что в IP есть свой собственный встроенный в него flow control?

Слава Богу, что нет. Это как раз одна из тех особенностей протокола, которая делает его гибким, а Интернет -- работоспособным: flow control обеспечивается лишь там, где он нужен, т.е. TCP. Для _весьма_ ограниченного управления может быть использован ICMP, отключать который в локалке -- просто бред. Для борьбы с туннелированием фильтровать ICMP снаружи тоже глупо, т.к. можно _любой_ протокол для туннеля использовать. Какой бы супер-пупер протокол не изобрести, его всегда можно будет использовать для туннелирования.

> Или станете отрицать, что 80 ато и все 90% рабочих станций это винды, а в России- WinXP?Заставлять каждого юзера менять настройки встроенного в Sp2 firewall?

Недостатки Винды никак не относятся к недостаткам протокола.

Конечно, я понимаю, что работа под вындус частенько ставит мозги раком (я не имею в виду vlTepes, я просто комментирую тенденцию, получающую все большее распространение), но мотивировать разработку нового протокола приспособлением к дефолтным настройкам одной из версий операционки IMHO примерно то же, что и бороться с перхотью при помощи гильотины.

Ок. Не вижу гибкости в отсутствии flow control в IP. Можете пояснить на примере, в какой ситуации от наличия flow control был бы вред? ICMP спасал (в стародавние времена, когда еще никто не догадался его фильтровать) медленные каналы от перегрузок. Сейчас это практически не работает. Можете предложить как реализовать на уровне IP шейпер входящего трафика БЕЗ потерь?Не применяя средств нижележащих протоколов (FR, ATM)?Наличие Windows пользователей (эти ничего не знают об ICMP), "красноглазых пионэров" с Linux(эти слышали краем уха, что-то там про Кевина Митника и боятся ICMP как огня) - это данность, данная нам в ощущения и с этим нам жить. Так что можно констатировать факт - единственное средство борьбы с перегрузкой и ненужной потерей пакетов (в IP) - не работает.Альтернатив нет. Результат мы видим регулярно (пару раз в год точно). Спорить насчет туннелирования и тд не буду, так как не по теме, кроме того, я как раз не поддерживаю фильтрацию ICMP, так как польза от этого для защиты системы сомнительна, а вред очевиден.

2vlTepes:

Ну, я, вообще-то, не специалист, но мне как-то не совсем понятно, почему шейпинг должен осуществляться на уровне IP _протокола_. Есть куча способов избирательного ограничения входящего траффика (типа tc), который без потерь ограничит TCP, исходящий с другой стороны. Ограничение же UDP ("беспотерьное") невозможно по определению UDP, иначе это был бы двунаправленный канал, для которого TCP придумали, или ограниченный контроль "вручную", для чего ICMP придумали.

Не нравиться -- не ешь (UDP).

> Так что можно констатировать факт - единственное средство борьбы с перегрузкой и ненужной потерей пакетов (в IP) - не работает.Альтернатив нет.

Да уж, крутейший довод в пользу разработки нового протокола...

Завтра M$ вдруг от ICMP отстанет и начнет по умолчанию TCP фильтровать, дык что ж, всем срочно открывать на файерволлах TCP<->UDP туннелирование? Или еще один протокол срочно разрабатывать?;)

Во-первых, tc шейпит на уровне ip. ;) Во-вторых, ограничивать трафик нужно очень часто по многим причинам. Пример - у вас ADSL модем с Ethernet бриджем. Роутер подключенный к такому девайсу не может знать текущей пропускной способности канала. Что происходит?Роутер посылает пакеты, они дропаются на канале из-за перегруза, роутер их снова посылает. Эффективность намного ниже, чем если бы роутер сразу же посылал пакеты с нужной скорость - не было бы потерь, да и КПД использования канала бы возрасло. Иногда в такой ситуации помогла бы поддержка управления полосой на уровне Ethernet - в некоторых девайсах она есть, хотя в самом стандарте Ethernet ее нет и как будут работать два девайса, у одного из которых есть стоит скажем ограничение на 1,5Мбит/сек, а у второго нет неизвестно. Кроме того, вас же не смущает наличие flow control в FE, FR?Какой от этого вред? В целом все как я подозревал. Неспециалисту, а конкретно человеку, который не сталкивался с загруженными каналами, DDoSами, задачами обеспечения QoS не понять что IP очень убогий протокол. И я двумя руками за новую архитектуру Интернет, протоколы и тд.Но только не за такую поделку, как IPv6. По крайней мере в том виде, в каком он есть, он решает только проблему адресации, а упоминавшиеся мной проблемы - нет.

2vlTepes :

> Роутер подключенный к такому девайсу не может знать текущей пропускной способности канала. ... Роутер посылает пакеты, они дропаются на канале из-за перегруза, роутер их снова посылает. Эффективность намного ниже,...

Не понимаю, почему эти проблемы должны решаться на уровне аж ИНТЕРнет протокола, изначально разрабатываемого для общения в гетерогенной среде самых различных структур. Потому-то интернет и построен на TCP/IP стеке, что стек этот позволяет такие проблемы обойти вне зависимости от железячных протоколов (медленный старт TCP тут спасает). Честно говоря, не вижу принципиальной возможности что-либо изменить в данном случае. Придумать как-нибудь пожужжать роутеру на уровне IP? Дык, есть такой протокол, ICMP называется ;). Можно, конечно, его иначе обозвать, если охота моральное удовлетворение получить :-).

Ладно, я, повторяю, не специалист, так что спорить больше не буду. Моим главным возражением было неприятие аргумента, что из-за дебильности (даже не реализации стека, а всего лишь дефолтных настроек) Вындуза следует срочно разрабатывать новый протокол.