unix4fun

Je ne sais pas pour vous, mais le réseau, je trouve ça assez intéressant. Comment fonctionnent les protocoles, leurs implémentations, etc. Alors voici un petit lien, présentant une implémentation de TCP/IP très légère, mais assez intéressante d'un point de vue didactique. Il s'agit de lwIP (light-weight IP), une stack TCP/IP ne faisant pas de copie de buffer afin de ne pas perdre trop en performances (mais avec une abstraction manquante, car chaque layer peut taper dans la couche sous-jacente), et où les principaux comportements attendus sont implémentés : silly window avoidance, demultiplexage, contrôle de checksum, retransmission rapide, calcul de RTT, contrôle de congestion, etc. La pile propose même une API BSD compliant :) Bon, il s'agit d'un PoC d'universitaire, hein, c'est pas ça qui va remplacer les piles des OS, mais encore une fois, ça se comprend vite et bien.

Ah, oui, le code (C, oeuf corse) tient en moins de 2600 lignes, et le code objet produit pèse 13.5 KiB.

• c'est ici

PS : Dernière chose, il n'y a pas de support IPv6. Haaan, la grosse honte.

Je vais probablement enfoncer des portes ouvertes mais c'est pas grave. Récemment j'ai écouté le trafic d'une machine qui streamait du son via le protocole DAAP (le truc de iTunes) sous un linux (donc une approximation de DAAP en fait, car les specs ne sont pas releasées). Bref, le linux envoie de la musique sur un LAN via le soft rhythmbox. Ça passe par un LAN, et arrive au client. En faisant un coup de tcpdump sur le serveur, je m'aperçois que les datagrammes IP font régulièrement plus de 1500 bytes. Souvent 5 ou 7 KB. Curieux... Je me demande d'où ça vient. Qui plus est, le checksum TCP est incorrect. Vraiment chelou, ça.

$ ip link ls eth0
3: eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:12:3f:71:57:a1 brd ff:ff:ff:ff:ff:ff

La MTU est bien à 1500. Si j'écoute sur le client, je vois bien des paquets fragmentés. Bizarre bizarre. Le switch ferait ça ? Je mirror les ports et j'écoute : paquets fragmentés. Boooon, après avoir cherché à droite à gauche, je tombe sur ces liens :

• Generic Segment Offload
• Large Send Offload

L'explication est que la fragmentation est réalisée par la carte réseau, hypothèse que j'avais exclue d'emblée, parce que ça me semblait overkill. Et pourtant ! Un patch avec des benches envoyés sur la ml netdev du noyau linux montre que ça améliore significativement les performances (dans le cas où le firmware permet de le faire, bien sûr), et ça semble intégré depuis le 2.6.18.

C'est tout. Je voulais juste poster ça pour éviter aux ignares comme moi de chercher pendant des plombes le pourquoi du comment. Enfin... encore faut-il qu'ils connaissent ce site. :-)

PS : pour le checksum erroné, c'est visiblement parce que la stack TCP/IP sait que le device va regragmenter, et donc invalider le checksum calculé (et en mettre un autre à la place). Donc pas la peine de se fatiguer à le calculer. C'est mon hypothèse, il faudrait que je regarde les sources.

Une histoire que j ai trouve interessante (subjectif) meme si elle est n'est pas "neuve", le cas est marrant a lire et a comprendre.

L'annonce BGP de Pakistan Telecom qui a annonce un subnet plus specifique de youtube en Fevrier 2008 sur une bonne partie de l' internet poilu avec des choses marrantes a comprendre comme:

comment hijacker proprement pour que (par exemple) Pakistan Telecom puisse rerouter correctement vers youtube si necessaire en evitant que son "path" vers youtube soit pollue par ses annonces illegitimes.

• le blog
• l'analyse du RIPE

Update!!
un paper qui fourni des infos completes, merci au monsieur anonyme qui a laisse le commentaire
/Update!!

• un paper blackhat sur le sujet

have fun! :)

Ca semble fortement sympathique et base sur des concepts assez sexy, c'est fait par des gens poilus, ca semble egalement assez fou au niveau de certains choix qui peuvent avoir l'air bizarre mais semblent murement reflechis..

A suivre: http://netifera.com/

En étant tombé sur ce truc il y a déjà un ptit moment, je trouvais sympa le visuel. Le problème est que INAV ne gère pas le format netflow. Alors quand on a déjà son archi sous netflow, on peut être intéressé par nvis, dont vous remarquerez (ou pas) la ressemblance.

En creusant un ptit peu plus, on tombe sur la thèse d'un bonhomme qui en parle (entre autre) et nous renvoie sur le toolkit du projet.

Enfin, après vous avoir fait baver, sachez que les sources de ce truc sont introuvables, donc si quelqu'un les a vu passer !@#?

PS : pour ceux qui trouvent que netflow sent pas bon du genou, il y a ce cher sflow, jdis ca comme ca.

Maintenant que notre soufflet s'est un peu degonfle concernant la "ouuUUuuUU-mechante-incroyable-youpi-fear-tout-ca" attaque DNS, y a un monsieur sympathique et qui documente toujours super bien ses posts, qui a fait ca.

allez hop on va lire et on se code un tools tranquillou!

Alors eau et moi là, on bosse tous les deux sur de la capture de paquets, et suite à une n-ième et instructive conversation sur LSF/BPF/Prout/Whatever, je suis tombé sur un site intéressant, pour la comparaison de performances pour les gros, GROS trafics (de l'ordre du Gigabit).

On y trouve une comparaison entre FreeBSD et Linux, un patch (douteux ?) de libpcap, des benches quant au processeur utilisé (apparemment AMD Opteron > Intel Xeon), et même un .config tout fait. Il y a également des articles intéressants sur ce sujet, soumis à des confs.

Pour voir tout ça, il faut jeter un oeil par ici.

Un blog avec un projet sympa linked, des experiences a la noix d'installation d'OpenBSD dans des conditions plus ou moins relou, des idees et un projet potentiellement utile..

• le blog
• une experience
• le projet

bref marrant et a lire..

Alors ca fait qqes temps que je codouille en v6 etc... j'ai qqes soucis mais globalement c'est assez simple de faire du code clean et dual stack en C, j'ai pas encore teste en python.

J'ai une question a tout les gurus-ultra-leet-v6 tout ca.. je cherche une solution au moyen de faire des filtres pcap avance en ipv6, et ca ne semble pas possible, cf tcpdump(8) :

[...]
  Proto is one of ether, fddi, tr, wlan, ppp,  slip,  link,
  ip,  arp,  rarp, tcp, udp, icmp or ip6, and indicates the
  protocol layer for the index  operation.   (ether,  fddi,
  wlan,  tr,  ppp,  slip  and  link  all  refer to the link
  layer.) Note that tcp, udp and other upper-layer  proto-
  col  types  only  apply  to  IPv4, not IPv6 (this will be
  fixed in the future)
[...]

donc si qqun a une idee...

Voila la ptite doc sympa ipv6 prog tout ca :

* http://www.euchinagrid.org/IPv6/IPv6_presentation/Introduction_to_IPv6_programming.pdf

Qu'on va mirrorer gentillement paske c'est bien utile quand meme :

* introduction_to_v6_prog.pdf

Hola,

apres une grosse absence, il me semble qu'il est bon de revenir un peu, les fetes approchent, du coup, alors comme c'est noel j'offre que dalle...

par contre apres mes galeres avec pylibpcap et le threading, je suis passe a ca ca marche sans sourciller..

je posterai un ptit exemple rapidement j'espere...

aussi le week end food du retour arrive!!! one-two checking the microphone - check this out incoming week end food soon... (1 jour)