در محیط های سیستم عامل کلیه Interface های شبکه دارای یک بافرهستند، بافری که صف گونه (Queue) رفتار می کند.
در این مبحث در ارتباط با هر Interface مفهومی با عنوان Queue Discipline مطرح می شود، الگوریتمهایی که نحوه رفتار با بسته های (Packet) صف شده را معرفی می کند. که حالت ساده و البته پیش فرض Queue Discipline در لینوکس برای کلیه Interface ها مدل (FIFO (First in-First out است. بدین معنی که در حالت پیش فرض یک روتر لینوکس هیچگونه کنترل و تاخیر در پهنای باند و دریافت و ارسال بسته ها اعمال نمی کند.
در واقع Kernel لینوکس از روش بسیار دقیق برای کنترل پهنای باند استفاده می کند و علت آن استفاده از الگوریتم Token – Bucket است که بر جریان عبور بسته ها بصورت بایت به بایت نظارت می کند. در این الگوریتم در کنار صف Packet ها از صف دیگری بنام Bucket استفاده می شود که به ازاء ورود هر Token به این صف اجازه خروج داده های ارسالی از صف Packet داده می شود.
فرمان لینوکس برای اعمال محدودیت پهنای باند بر روی یک Interface شبکه “tc” می باشد.
فرمان لینوکس برای مشاهده وضعیت جاری پهنای باند Interface ها:
#tc qdisc show
فرمان لینوکس برای اضافه نمودن محدودیت پهنای باند بر روی یک Interface خاص که در این آموزش از مدل tbf استفاده می کنیم:
#tc qdisc add dev DEV root tbf PARAMETERS
فرمان حذف نمودن محدودیت پهنای باند:
#tc qdisc del dev DEV root
مثال:
#tc qdisc del dev eth0 root
توضیح اضافه نمودن محدودیت پهنای باند با ذکر مثال:
#tc qdisc add dev eth0 root tbf rate 0.5mbit burst 5kb limit 10kb peakrate 1mbit mtu 1540
در واقع qdisc مخفف Queue Discipline
در واقع dev تعیین Interface مورد نظر جهت اعمال محدودیت پهنای باند
در واقع root در حالت های خاص یک Interface می تواند شامل چندین Class باشد که هر Class شامل Flow یا جریان های وابسته به آن Class است. به عنوان مثال تعریف یک Class با Flow عبور بسته های ssh. ولی در حالت معمول در صورت عدم تعریف Class باید از حالت root استفاده کرد که نشان دهنده تمامی بسته های دریافتی است.
در واقع tbf یکی از انواع مدل های که از الگوریتم Token – Bucket استفاده می کند.
در واقع rate نرخ ارسال Token به داخل Bucket
در واقع burst اندازه صف Bucket بر حسب بایت برای نگهدای Token. اندازه Rate بالاتر نیاز به بافر بزرگتری برای Token ها دارد.
دlimit اندازه صف Packet ها بر حسب بایت.
دpeakrate در صورت عدم استفاده صحیح از این پارامتر مدل tbf از دقت لازم برخوردار نخواهد بود.دلیل: در حالت پیش فرض زمانی که Token اضافه در Bucket موجود باشد یا بعبارتی زمانی که نسبت نرخ ارسال Token به نرخ ارسال Packet بالاتر میرود Packet های موجود با حداکثر سرعت از بافر Interface خارج می شوند و بنابراین در این گونه زمان ها پهنای باند برابر با مقدار تعیین شده در پارامتر rate نخواهد بود. استفاده از پارامتر peakrate مشکل فوق را حل می کند.
در بخش پيشرفته تر كنترل ترافيك امكان پياده سازي مكانيزم QoS مطرح مي شود كه مبناي آن اعمال محدوديت پهناي باند بر روي Flow هاي است كه از يك Interface خاص ميگذرند. اين Flow ها ميتوانند شامل مجموعه Packet ها با IP خاص يا شماره پورت خاص باشند. جهت ايجاد Flow هاي گفته شده در لينوكس ابزاري بنام iptables وجود دارد با قابليت اعمال QoS كه اصطلاحا با عنوان mangling شناخته ميشود.
#linux #network #tc #qos @unixmens
در این مبحث در ارتباط با هر Interface مفهومی با عنوان Queue Discipline مطرح می شود، الگوریتمهایی که نحوه رفتار با بسته های (Packet) صف شده را معرفی می کند. که حالت ساده و البته پیش فرض Queue Discipline در لینوکس برای کلیه Interface ها مدل (FIFO (First in-First out است. بدین معنی که در حالت پیش فرض یک روتر لینوکس هیچگونه کنترل و تاخیر در پهنای باند و دریافت و ارسال بسته ها اعمال نمی کند.
در واقع Kernel لینوکس از روش بسیار دقیق برای کنترل پهنای باند استفاده می کند و علت آن استفاده از الگوریتم Token – Bucket است که بر جریان عبور بسته ها بصورت بایت به بایت نظارت می کند. در این الگوریتم در کنار صف Packet ها از صف دیگری بنام Bucket استفاده می شود که به ازاء ورود هر Token به این صف اجازه خروج داده های ارسالی از صف Packet داده می شود.
فرمان لینوکس برای اعمال محدودیت پهنای باند بر روی یک Interface شبکه “tc” می باشد.
فرمان لینوکس برای مشاهده وضعیت جاری پهنای باند Interface ها:
#tc qdisc show
فرمان لینوکس برای اضافه نمودن محدودیت پهنای باند بر روی یک Interface خاص که در این آموزش از مدل tbf استفاده می کنیم:
#tc qdisc add dev DEV root tbf PARAMETERS
فرمان حذف نمودن محدودیت پهنای باند:
#tc qdisc del dev DEV root
مثال:
#tc qdisc del dev eth0 root
توضیح اضافه نمودن محدودیت پهنای باند با ذکر مثال:
#tc qdisc add dev eth0 root tbf rate 0.5mbit burst 5kb limit 10kb peakrate 1mbit mtu 1540
در واقع qdisc مخفف Queue Discipline
در واقع dev تعیین Interface مورد نظر جهت اعمال محدودیت پهنای باند
در واقع root در حالت های خاص یک Interface می تواند شامل چندین Class باشد که هر Class شامل Flow یا جریان های وابسته به آن Class است. به عنوان مثال تعریف یک Class با Flow عبور بسته های ssh. ولی در حالت معمول در صورت عدم تعریف Class باید از حالت root استفاده کرد که نشان دهنده تمامی بسته های دریافتی است.
در واقع tbf یکی از انواع مدل های که از الگوریتم Token – Bucket استفاده می کند.
در واقع rate نرخ ارسال Token به داخل Bucket
در واقع burst اندازه صف Bucket بر حسب بایت برای نگهدای Token. اندازه Rate بالاتر نیاز به بافر بزرگتری برای Token ها دارد.
دlimit اندازه صف Packet ها بر حسب بایت.
دpeakrate در صورت عدم استفاده صحیح از این پارامتر مدل tbf از دقت لازم برخوردار نخواهد بود.دلیل: در حالت پیش فرض زمانی که Token اضافه در Bucket موجود باشد یا بعبارتی زمانی که نسبت نرخ ارسال Token به نرخ ارسال Packet بالاتر میرود Packet های موجود با حداکثر سرعت از بافر Interface خارج می شوند و بنابراین در این گونه زمان ها پهنای باند برابر با مقدار تعیین شده در پارامتر rate نخواهد بود. استفاده از پارامتر peakrate مشکل فوق را حل می کند.
در بخش پيشرفته تر كنترل ترافيك امكان پياده سازي مكانيزم QoS مطرح مي شود كه مبناي آن اعمال محدوديت پهناي باند بر روي Flow هاي است كه از يك Interface خاص ميگذرند. اين Flow ها ميتوانند شامل مجموعه Packet ها با IP خاص يا شماره پورت خاص باشند. جهت ايجاد Flow هاي گفته شده در لينوكس ابزاري بنام iptables وجود دارد با قابليت اعمال QoS كه اصطلاحا با عنوان mangling شناخته ميشود.
#linux #network #tc #qos @unixmens
Forwarded from Academy and Foundation unixmens | Your skills, Your future (yashar esmaildokht 🐧)
در محیط های سیستم عامل کلیه Interface های شبکه دارای یک بافرهستند، بافری که صف گونه (Queue) رفتار می کند.
در این مبحث در ارتباط با هر Interface مفهومی با عنوان Queue Discipline مطرح می شود، الگوریتمهایی که نحوه رفتار با بسته های (Packet) صف شده را معرفی می کند. که حالت ساده و البته پیش فرض Queue Discipline در لینوکس برای کلیه Interface ها مدل (FIFO (First in-First out است. بدین معنی که در حالت پیش فرض یک روتر لینوکس هیچگونه کنترل و تاخیر در پهنای باند و دریافت و ارسال بسته ها اعمال نمی کند.
در واقع Kernel لینوکس از روش بسیار دقیق برای کنترل پهنای باند استفاده می کند و علت آن استفاده از الگوریتم Token – Bucket است که بر جریان عبور بسته ها بصورت بایت به بایت نظارت می کند. در این الگوریتم در کنار صف Packet ها از صف دیگری بنام Bucket استفاده می شود که به ازاء ورود هر Token به این صف اجازه خروج داده های ارسالی از صف Packet داده می شود.
فرمان لینوکس برای اعمال محدودیت پهنای باند بر روی یک Interface شبکه “tc” می باشد.
فرمان لینوکس برای مشاهده وضعیت جاری پهنای باند Interface ها:
#tc qdisc show
فرمان لینوکس برای اضافه نمودن محدودیت پهنای باند بر روی یک Interface خاص که در این آموزش از مدل tbf استفاده می کنیم:
#tc qdisc add dev DEV root tbf PARAMETERS
فرمان حذف نمودن محدودیت پهنای باند:
#tc qdisc del dev DEV root
مثال:
#tc qdisc del dev eth0 root
توضیح اضافه نمودن محدودیت پهنای باند با ذکر مثال:
#tc qdisc add dev eth0 root tbf rate 0.5mbit burst 5kb limit 10kb peakrate 1mbit mtu 1540
در واقع qdisc مخفف Queue Discipline
در واقع dev تعیین Interface مورد نظر جهت اعمال محدودیت پهنای باند
در واقع root در حالت های خاص یک Interface می تواند شامل چندین Class باشد که هر Class شامل Flow یا جریان های وابسته به آن Class است. به عنوان مثال تعریف یک Class با Flow عبور بسته های ssh. ولی در حالت معمول در صورت عدم تعریف Class باید از حالت root استفاده کرد که نشان دهنده تمامی بسته های دریافتی است.
در واقع tbf یکی از انواع مدل های که از الگوریتم Token – Bucket استفاده می کند.
در واقع rate نرخ ارسال Token به داخل Bucket
در واقع burst اندازه صف Bucket بر حسب بایت برای نگهدای Token. اندازه Rate بالاتر نیاز به بافر بزرگتری برای Token ها دارد.
دlimit اندازه صف Packet ها بر حسب بایت.
دpeakrate در صورت عدم استفاده صحیح از این پارامتر مدل tbf از دقت لازم برخوردار نخواهد بود.دلیل: در حالت پیش فرض زمانی که Token اضافه در Bucket موجود باشد یا بعبارتی زمانی که نسبت نرخ ارسال Token به نرخ ارسال Packet بالاتر میرود Packet های موجود با حداکثر سرعت از بافر Interface خارج می شوند و بنابراین در این گونه زمان ها پهنای باند برابر با مقدار تعیین شده در پارامتر rate نخواهد بود. استفاده از پارامتر peakrate مشکل فوق را حل می کند.
در بخش پيشرفته تر كنترل ترافيك امكان پياده سازي مكانيزم QoS مطرح مي شود كه مبناي آن اعمال محدوديت پهناي باند بر روي Flow هاي است كه از يك Interface خاص ميگذرند. اين Flow ها ميتوانند شامل مجموعه Packet ها با IP خاص يا شماره پورت خاص باشند. جهت ايجاد Flow هاي گفته شده در لينوكس ابزاري بنام iptables وجود دارد با قابليت اعمال QoS كه اصطلاحا با عنوان mangling شناخته ميشود.
#linux #network #tc #qos @unixmens
در این مبحث در ارتباط با هر Interface مفهومی با عنوان Queue Discipline مطرح می شود، الگوریتمهایی که نحوه رفتار با بسته های (Packet) صف شده را معرفی می کند. که حالت ساده و البته پیش فرض Queue Discipline در لینوکس برای کلیه Interface ها مدل (FIFO (First in-First out است. بدین معنی که در حالت پیش فرض یک روتر لینوکس هیچگونه کنترل و تاخیر در پهنای باند و دریافت و ارسال بسته ها اعمال نمی کند.
در واقع Kernel لینوکس از روش بسیار دقیق برای کنترل پهنای باند استفاده می کند و علت آن استفاده از الگوریتم Token – Bucket است که بر جریان عبور بسته ها بصورت بایت به بایت نظارت می کند. در این الگوریتم در کنار صف Packet ها از صف دیگری بنام Bucket استفاده می شود که به ازاء ورود هر Token به این صف اجازه خروج داده های ارسالی از صف Packet داده می شود.
فرمان لینوکس برای اعمال محدودیت پهنای باند بر روی یک Interface شبکه “tc” می باشد.
فرمان لینوکس برای مشاهده وضعیت جاری پهنای باند Interface ها:
#tc qdisc show
فرمان لینوکس برای اضافه نمودن محدودیت پهنای باند بر روی یک Interface خاص که در این آموزش از مدل tbf استفاده می کنیم:
#tc qdisc add dev DEV root tbf PARAMETERS
فرمان حذف نمودن محدودیت پهنای باند:
#tc qdisc del dev DEV root
مثال:
#tc qdisc del dev eth0 root
توضیح اضافه نمودن محدودیت پهنای باند با ذکر مثال:
#tc qdisc add dev eth0 root tbf rate 0.5mbit burst 5kb limit 10kb peakrate 1mbit mtu 1540
در واقع qdisc مخفف Queue Discipline
در واقع dev تعیین Interface مورد نظر جهت اعمال محدودیت پهنای باند
در واقع root در حالت های خاص یک Interface می تواند شامل چندین Class باشد که هر Class شامل Flow یا جریان های وابسته به آن Class است. به عنوان مثال تعریف یک Class با Flow عبور بسته های ssh. ولی در حالت معمول در صورت عدم تعریف Class باید از حالت root استفاده کرد که نشان دهنده تمامی بسته های دریافتی است.
در واقع tbf یکی از انواع مدل های که از الگوریتم Token – Bucket استفاده می کند.
در واقع rate نرخ ارسال Token به داخل Bucket
در واقع burst اندازه صف Bucket بر حسب بایت برای نگهدای Token. اندازه Rate بالاتر نیاز به بافر بزرگتری برای Token ها دارد.
دlimit اندازه صف Packet ها بر حسب بایت.
دpeakrate در صورت عدم استفاده صحیح از این پارامتر مدل tbf از دقت لازم برخوردار نخواهد بود.دلیل: در حالت پیش فرض زمانی که Token اضافه در Bucket موجود باشد یا بعبارتی زمانی که نسبت نرخ ارسال Token به نرخ ارسال Packet بالاتر میرود Packet های موجود با حداکثر سرعت از بافر Interface خارج می شوند و بنابراین در این گونه زمان ها پهنای باند برابر با مقدار تعیین شده در پارامتر rate نخواهد بود. استفاده از پارامتر peakrate مشکل فوق را حل می کند.
در بخش پيشرفته تر كنترل ترافيك امكان پياده سازي مكانيزم QoS مطرح مي شود كه مبناي آن اعمال محدوديت پهناي باند بر روي Flow هاي است كه از يك Interface خاص ميگذرند. اين Flow ها ميتوانند شامل مجموعه Packet ها با IP خاص يا شماره پورت خاص باشند. جهت ايجاد Flow هاي گفته شده در لينوكس ابزاري بنام iptables وجود دارد با قابليت اعمال QoS كه اصطلاحا با عنوان mangling شناخته ميشود.
#linux #network #tc #qos @unixmens
Forwarded from Academy and Foundation unixmens | Your skills, Your future (yashar esmaildokht 🐧)
در محیط های سیستم عامل کلیه Interface های شبکه دارای یک بافرهستند، بافری که صف گونه (Queue) رفتار می کند.
در این مبحث در ارتباط با هر Interface مفهومی با عنوان Queue Discipline مطرح می شود، الگوریتمهایی که نحوه رفتار با بسته های (Packet) صف شده را معرفی می کند. که حالت ساده و البته پیش فرض Queue Discipline در لینوکس برای کلیه Interface ها مدل (FIFO (First in-First out است. بدین معنی که در حالت پیش فرض یک روتر لینوکس هیچگونه کنترل و تاخیر در پهنای باند و دریافت و ارسال بسته ها اعمال نمی کند.
در واقع Kernel لینوکس از روش بسیار دقیق برای کنترل پهنای باند استفاده می کند و علت آن استفاده از الگوریتم Token – Bucket است که بر جریان عبور بسته ها بصورت بایت به بایت نظارت می کند. در این الگوریتم در کنار صف Packet ها از صف دیگری بنام Bucket استفاده می شود که به ازاء ورود هر Token به این صف اجازه خروج داده های ارسالی از صف Packet داده می شود.
فرمان لینوکس برای اعمال محدودیت پهنای باند بر روی یک Interface شبکه “tc” می باشد.
فرمان لینوکس برای مشاهده وضعیت جاری پهنای باند Interface ها:
#tc qdisc show
فرمان لینوکس برای اضافه نمودن محدودیت پهنای باند بر روی یک Interface خاص که در این آموزش از مدل tbf استفاده می کنیم:
#tc qdisc add dev DEV root tbf PARAMETERS
فرمان حذف نمودن محدودیت پهنای باند:
#tc qdisc del dev DEV root
مثال:
#tc qdisc del dev eth0 root
توضیح اضافه نمودن محدودیت پهنای باند با ذکر مثال:
#tc qdisc add dev eth0 root tbf rate 0.5mbit burst 5kb limit 10kb peakrate 1mbit mtu 1540
در واقع qdisc مخفف Queue Discipline
در واقع dev تعیین Interface مورد نظر جهت اعمال محدودیت پهنای باند
در واقع root در حالت های خاص یک Interface می تواند شامل چندین Class باشد که هر Class شامل Flow یا جریان های وابسته به آن Class است. به عنوان مثال تعریف یک Class با Flow عبور بسته های ssh. ولی در حالت معمول در صورت عدم تعریف Class باید از حالت root استفاده کرد که نشان دهنده تمامی بسته های دریافتی است.
در واقع tbf یکی از انواع مدل های که از الگوریتم Token – Bucket استفاده می کند.
در واقع rate نرخ ارسال Token به داخل Bucket
در واقع burst اندازه صف Bucket بر حسب بایت برای نگهدای Token. اندازه Rate بالاتر نیاز به بافر بزرگتری برای Token ها دارد.
دlimit اندازه صف Packet ها بر حسب بایت.
دpeakrate در صورت عدم استفاده صحیح از این پارامتر مدل tbf از دقت لازم برخوردار نخواهد بود.دلیل: در حالت پیش فرض زمانی که Token اضافه در Bucket موجود باشد یا بعبارتی زمانی که نسبت نرخ ارسال Token به نرخ ارسال Packet بالاتر میرود Packet های موجود با حداکثر سرعت از بافر Interface خارج می شوند و بنابراین در این گونه زمان ها پهنای باند برابر با مقدار تعیین شده در پارامتر rate نخواهد بود. استفاده از پارامتر peakrate مشکل فوق را حل می کند.
در بخش پيشرفته تر كنترل ترافيك امكان پياده سازي مكانيزم QoS مطرح مي شود كه مبناي آن اعمال محدوديت پهناي باند بر روي Flow هاي است كه از يك Interface خاص ميگذرند. اين Flow ها ميتوانند شامل مجموعه Packet ها با IP خاص يا شماره پورت خاص باشند. جهت ايجاد Flow هاي گفته شده در لينوكس ابزاري بنام iptables وجود دارد با قابليت اعمال QoS كه اصطلاحا با عنوان mangling شناخته ميشود.
#linux #network #tc #qos @unixmens
در این مبحث در ارتباط با هر Interface مفهومی با عنوان Queue Discipline مطرح می شود، الگوریتمهایی که نحوه رفتار با بسته های (Packet) صف شده را معرفی می کند. که حالت ساده و البته پیش فرض Queue Discipline در لینوکس برای کلیه Interface ها مدل (FIFO (First in-First out است. بدین معنی که در حالت پیش فرض یک روتر لینوکس هیچگونه کنترل و تاخیر در پهنای باند و دریافت و ارسال بسته ها اعمال نمی کند.
در واقع Kernel لینوکس از روش بسیار دقیق برای کنترل پهنای باند استفاده می کند و علت آن استفاده از الگوریتم Token – Bucket است که بر جریان عبور بسته ها بصورت بایت به بایت نظارت می کند. در این الگوریتم در کنار صف Packet ها از صف دیگری بنام Bucket استفاده می شود که به ازاء ورود هر Token به این صف اجازه خروج داده های ارسالی از صف Packet داده می شود.
فرمان لینوکس برای اعمال محدودیت پهنای باند بر روی یک Interface شبکه “tc” می باشد.
فرمان لینوکس برای مشاهده وضعیت جاری پهنای باند Interface ها:
#tc qdisc show
فرمان لینوکس برای اضافه نمودن محدودیت پهنای باند بر روی یک Interface خاص که در این آموزش از مدل tbf استفاده می کنیم:
#tc qdisc add dev DEV root tbf PARAMETERS
فرمان حذف نمودن محدودیت پهنای باند:
#tc qdisc del dev DEV root
مثال:
#tc qdisc del dev eth0 root
توضیح اضافه نمودن محدودیت پهنای باند با ذکر مثال:
#tc qdisc add dev eth0 root tbf rate 0.5mbit burst 5kb limit 10kb peakrate 1mbit mtu 1540
در واقع qdisc مخفف Queue Discipline
در واقع dev تعیین Interface مورد نظر جهت اعمال محدودیت پهنای باند
در واقع root در حالت های خاص یک Interface می تواند شامل چندین Class باشد که هر Class شامل Flow یا جریان های وابسته به آن Class است. به عنوان مثال تعریف یک Class با Flow عبور بسته های ssh. ولی در حالت معمول در صورت عدم تعریف Class باید از حالت root استفاده کرد که نشان دهنده تمامی بسته های دریافتی است.
در واقع tbf یکی از انواع مدل های که از الگوریتم Token – Bucket استفاده می کند.
در واقع rate نرخ ارسال Token به داخل Bucket
در واقع burst اندازه صف Bucket بر حسب بایت برای نگهدای Token. اندازه Rate بالاتر نیاز به بافر بزرگتری برای Token ها دارد.
دlimit اندازه صف Packet ها بر حسب بایت.
دpeakrate در صورت عدم استفاده صحیح از این پارامتر مدل tbf از دقت لازم برخوردار نخواهد بود.دلیل: در حالت پیش فرض زمانی که Token اضافه در Bucket موجود باشد یا بعبارتی زمانی که نسبت نرخ ارسال Token به نرخ ارسال Packet بالاتر میرود Packet های موجود با حداکثر سرعت از بافر Interface خارج می شوند و بنابراین در این گونه زمان ها پهنای باند برابر با مقدار تعیین شده در پارامتر rate نخواهد بود. استفاده از پارامتر peakrate مشکل فوق را حل می کند.
در بخش پيشرفته تر كنترل ترافيك امكان پياده سازي مكانيزم QoS مطرح مي شود كه مبناي آن اعمال محدوديت پهناي باند بر روي Flow هاي است كه از يك Interface خاص ميگذرند. اين Flow ها ميتوانند شامل مجموعه Packet ها با IP خاص يا شماره پورت خاص باشند. جهت ايجاد Flow هاي گفته شده در لينوكس ابزاري بنام iptables وجود دارد با قابليت اعمال QoS كه اصطلاحا با عنوان mangling شناخته ميشود.
#linux #network #tc #qos @unixmens
🔳آسیبپذیری بحرانی در سرویس QoS تجهیزات سیسکو
اخیرا آسیب پذیری با هدف سرویس Quality of Service در سیستم عامل IOS و IOS XE تجهیزات سیسکو توسط این شرکت گزارش شده است. این آسیب پذیری با مشخصهی CVE-2018-0151، امکان اجرای کد از راه دور را برای حمله کننده فراهم می کند. این آسیب پذیری به دلیل وجود ضعف "عدم بررسی مرز حافظه تخصیص داده شده" در کد های سیستم عامل IOS به وجود آمده است.
مهاجم می تواند با بهره برداری از این آسیب پذیری، بسته های مخرب را به پورت UDP 18999 دستگاه های آسیب پذیر ارسال کند. هنگامی که بسته ها پردازش می شوند، یک وضعیت سرریز بافر قابل بهره برداری رخ می دهد. یک بهره برداری موفق می تواند به مهاجم اجازه دهد تا کد دلخواه را با سطح دسترسی بالا در دستگاه اجرا کند و یا با reload دستگاه باعث توقف سرویس دهی دستگاه شود.
▪️دستگاه های آسیب پذیر
سرویس و پورت آسیبپذیر بصورت پیشفرض بر روی تجهیزات سیسکو فعال نیست و تنها تجهیزاتی که از قابلیت Adaptive QoS for Dynamic Multipoint VPN (DMVPN) و نسخهای بروز نشده از سیستم عامل سیسکو استفاده می کنند تحت تاثیر این آسیبپذیری هستند.
با استفاده از دستور show udp می توانید از غیر فعال بودن این پورت اطمینان حاصل کنید.
▪️جهت مسدود سازی این آسیبپذیری می توانید با استفاده از ACL، دسترسی به پورت UDP 18999 تجهیز را مسدود نمایید.
منبع
#security #cisco #qos @unixmens
اخیرا آسیب پذیری با هدف سرویس Quality of Service در سیستم عامل IOS و IOS XE تجهیزات سیسکو توسط این شرکت گزارش شده است. این آسیب پذیری با مشخصهی CVE-2018-0151، امکان اجرای کد از راه دور را برای حمله کننده فراهم می کند. این آسیب پذیری به دلیل وجود ضعف "عدم بررسی مرز حافظه تخصیص داده شده" در کد های سیستم عامل IOS به وجود آمده است.
مهاجم می تواند با بهره برداری از این آسیب پذیری، بسته های مخرب را به پورت UDP 18999 دستگاه های آسیب پذیر ارسال کند. هنگامی که بسته ها پردازش می شوند، یک وضعیت سرریز بافر قابل بهره برداری رخ می دهد. یک بهره برداری موفق می تواند به مهاجم اجازه دهد تا کد دلخواه را با سطح دسترسی بالا در دستگاه اجرا کند و یا با reload دستگاه باعث توقف سرویس دهی دستگاه شود.
▪️دستگاه های آسیب پذیر
سرویس و پورت آسیبپذیر بصورت پیشفرض بر روی تجهیزات سیسکو فعال نیست و تنها تجهیزاتی که از قابلیت Adaptive QoS for Dynamic Multipoint VPN (DMVPN) و نسخهای بروز نشده از سیستم عامل سیسکو استفاده می کنند تحت تاثیر این آسیبپذیری هستند.
با استفاده از دستور show udp می توانید از غیر فعال بودن این پورت اطمینان حاصل کنید.
▪️جهت مسدود سازی این آسیبپذیری می توانید با استفاده از ACL، دسترسی به پورت UDP 18999 تجهیز را مسدود نمایید.
منبع
#security #cisco #qos @unixmens
Cisco
Cisco Security Advisory: Cisco IOS and IOS XE Software Quality of Service Remote Code Execution Vulnerability
A vulnerability in the quality of service (QoS) subsystem of Cisco IOS Software and Cisco IOS XE Software could allow an unauthenticated, remote attacker to cause a denial of service (DoS) condition or execute arbitrary code with elevated privileges.
The…
The…
♦️چرا سرویس QoS مهم است ، با کاربرد های بیشتر آن آشنا شویم :
➖برخی از سرویس ها یا اپلیکیشن هایی که در بستر شبکه اجرا و عملیاتی میشوند به تاخیر یا Delay حساس هستند.
این سرویس ها برای انتقال بسته های اطلاعاتی خود در شبکه از پروتکل UDP استفاده میکنند و از پروتکل TCP بهره نمیبرند.
تفاوت اصلی بین پروتکل TCP و UDP این است که پروتکل TCP بسته هایی که در بین راه Loss میشوند یا از بین میروند را دوباره ارسال میکند اما پروتکل UDP بسته های اطلاعاتی Loss شده را دوباره در شبکه ارسال نمیکند.
سرویس هایی که از پروتکل UDP استفاده میکنند مانند سرویس VOIP ، هرگونه بسته اطلاعاتی صوتی که Loss شود دیگر نمیتواند دوباره در شبکه ارسال شود زیرا بسته های صوتی در بستر شبکه Stream میشوند و ارسال مجدد آن بسته ها در بستر شبکه کاری بیهوده و بی فایده است.به همین دلیل، Loss شدن و یا به تاخیر افتادن ارسال بسته های اطلاعاتی که با پروتکل UDP در شبکه ارسال میشوند یک مشکل جدی محسوب میشود.
حتی اگر تعداد خیلی کمی از بسته های صوتی در هنگام ارسال در بستر شبکه Loss شود کیفیت صدا را به طور قابل توجهی پایین می آورد بطوریکه صدا نامفهوم و گنگ به گوش میرسد.نکته اینکه بسته های اطلاعاتی که به تاخیر حساس هستند به Jitter معروف هستند. Jitter اختلاف زمان تاخیر رسیدن بسته های اطلاعاتی Stream شده در شبکه میباشد.
اگر شبکه شما پهنای باند زیادی دارد Delay یا تاخیر در شبکه تان تا حد زیادی وجود نخواهد داشت و متعاقباََ نیاز به راه اندازی سرویس QoS در شبکه را نخواهید داشت.
اما در شبکه های سازمانی و بزرگ مواقعی پیش خواهد آمد که روتر ها و سوئیچ ها شروع به Drop کردن بسته های اطلاعاتی خواهند کرد در این گونه موارد سرویس های نظیر VOIP و ... در شبکه دچار اختلال میشود و آن سرویس ها نمیتوانند به طور موثر و کارامد به وظایفش ادامه دهد. اینجاست که QoS وارد عمل میشود .
#qos @unixmens
➖برخی از سرویس ها یا اپلیکیشن هایی که در بستر شبکه اجرا و عملیاتی میشوند به تاخیر یا Delay حساس هستند.
این سرویس ها برای انتقال بسته های اطلاعاتی خود در شبکه از پروتکل UDP استفاده میکنند و از پروتکل TCP بهره نمیبرند.
تفاوت اصلی بین پروتکل TCP و UDP این است که پروتکل TCP بسته هایی که در بین راه Loss میشوند یا از بین میروند را دوباره ارسال میکند اما پروتکل UDP بسته های اطلاعاتی Loss شده را دوباره در شبکه ارسال نمیکند.
سرویس هایی که از پروتکل UDP استفاده میکنند مانند سرویس VOIP ، هرگونه بسته اطلاعاتی صوتی که Loss شود دیگر نمیتواند دوباره در شبکه ارسال شود زیرا بسته های صوتی در بستر شبکه Stream میشوند و ارسال مجدد آن بسته ها در بستر شبکه کاری بیهوده و بی فایده است.به همین دلیل، Loss شدن و یا به تاخیر افتادن ارسال بسته های اطلاعاتی که با پروتکل UDP در شبکه ارسال میشوند یک مشکل جدی محسوب میشود.
حتی اگر تعداد خیلی کمی از بسته های صوتی در هنگام ارسال در بستر شبکه Loss شود کیفیت صدا را به طور قابل توجهی پایین می آورد بطوریکه صدا نامفهوم و گنگ به گوش میرسد.نکته اینکه بسته های اطلاعاتی که به تاخیر حساس هستند به Jitter معروف هستند. Jitter اختلاف زمان تاخیر رسیدن بسته های اطلاعاتی Stream شده در شبکه میباشد.
اگر شبکه شما پهنای باند زیادی دارد Delay یا تاخیر در شبکه تان تا حد زیادی وجود نخواهد داشت و متعاقباََ نیاز به راه اندازی سرویس QoS در شبکه را نخواهید داشت.
اما در شبکه های سازمانی و بزرگ مواقعی پیش خواهد آمد که روتر ها و سوئیچ ها شروع به Drop کردن بسته های اطلاعاتی خواهند کرد در این گونه موارد سرویس های نظیر VOIP و ... در شبکه دچار اختلال میشود و آن سرویس ها نمیتوانند به طور موثر و کارامد به وظایفش ادامه دهد. اینجاست که QoS وارد عمل میشود .
#qos @unixmens