Diverses: 6490, 6590, Puma6-Probleme bei anderen Herstellern, Puma7-Design

[fesc]

Das heißt in der Folge dann auch, daß es bereits einen Mechanismus zum "Bewerten der Pakete" gibt ... das meintest Du vermutlich mit "so viel Intelligenz"?

Ja, danke, da war ich mit meiner Vermutung es läge am eRouter wohl auf dem Holzweg.

Für mich wäre es eher die Frage, ob diese Limitierung (die kann sich ja jeder mit "iptables" für sein Linux auch selbst bauen) sich jetzt auf eine IP-Adresse als Absender beschränkt (dann würde das Absetzen von "störenden Paketen" mit gefälschter Absenderadresse immer noch funktionieren und das Problem wäre nur halb gelöst) oder für alle eingehenden, neuen UDP-Pakete gilt (für die bisher noch kein Eintrag in der Tabelle existiert - nach meinem Verständnis war die für diesen Eintrag (bzw. für die Reorganisation der Tabelle) benötigte Zeit das eigentliche Nadelöhr beim beschriebenen Problem).
..
PS: Vielleicht hat Intel aber auch bloß die Anzahl der Reorganisationen der Tabelle pro Zeiteinheit begrenzt, das wäre vielleicht sogar einfacher zu realisieren (und braucht gar keinen Blick in die Pakete), allerdings wären davon dann halt wirklich alle "neuen Flows" betroffen, die nicht direkt durch die Hardware-Beschleunigung zur MAC-Bridge gelangen. Dafür wirkt das dann wohl auch bei allen Protokollen ...

Was die Absender IP betrifft, die ist nach wie vor via ICMP und TCP erreichbar, also wenn dann UDP+Absender. Einen Test mit spoofing habe ich nicht.

Es sieht nicht so aus als ob die Anzahl der Reorganisationen allgemein begrenzt wird, denn nach der Blockierung geht erst mal gar nix mehr (von diesem Angriff) durch. Wenn ich deinen Ansatz richtig verstehe hätten zumindest noch ein paar sichtbar sein müssen.

 

[fesc]

Hab nochmal ein bissl gemessen .. generell scheint der filter nach ca. 6000 paketen zuzuschlagen, unabhängig von der paketrate (habe von 600 .. 5000pps gemessen).
Eine genaue recovery-zeit habe ich noch nicht herausgefunden, irgendwas bei 20sek aufwärts.
RTT geht kurz um ca. 50ms hoch, selten mit Paketverlusten.

 

[rmh]

Dass ich bei der Messung (mit PingPlotter Pro) nichts grob falsch mache, konnte ich übrigens mit dem von VFKD gestellten Compal CH7466CE überprüfen, welcher das Latenz-Problem auf Anhieb sehr eindrücklich zeigte. Übrigens selbst mit der aktuellsten von VFKD ausgespielten Firmware 4.50.19.12.

Sind denn die aktuellen AVM Cable-boxen "befreit" vom diesem Problem? Habe hier ebenfalls ein CH7466CE mit FW 4.50.19.12 mit dem ich deutliche Latenz-Sprünge messe.

 

[Ilja13]

Ja - AVM hat es vor über 6 Monaten gefixt. Das gilt jedoch nicht für die vom Provider bereitgestellten 6490 - da ist die FW noch sehr alt.