Ar CCNA sertifikatas garantuoja darbo vietą?

Šiandien gavau klausimą: ar CCNA garantuoja darbo vietą? Šiaip darbo vietos negarantuoja niekas. Tačiau kuo daugiau turite patirties, tuo didesnė galimybė gauti darbą. Jei turi sertifikatų – galimybė dar didesnė. Yra tokių darbo vietų, į kurias kandidatų be CCNA net nesvarsto. Yra netgi tokių vietų, į kurias nesvarsto be CCIE. Sertifikatas – tik viena mozaikos dalis admino karjeroje.

Ši mozaika susideda iš 3 pagrindinių komponentų, pagal kuriuos vertinamas kiekvienas kandidatas:

  • darbo patirtis
  • sertifikatai ir išsilavinimas
  • asmenybė

Jei kažkuris iš šių elementų šlubuoja, jį teks kompensuoti kitiems elementams. Žinoma, geriausia, kai visi 3 elementai žengia koja kojon. Nei sertifikatai be patirties, nei patirtis be sertifikatų neatrodo labai patraukliai.

Kuris iš šių elementų yra svarbiausias? Svarbiausia, be jokios abejonės, yra darbo patirtis. Sertifikatai gali padėti būti pakviestam į pokalbį, tačiau jūs būsite vertinamas pagal darbo patirtį ir asmenybę. Perdėm aukštas sertifikatas be jokios darbo patirties atrodo ne kaip.

Tačiau kaip gauti pirmąjį tinklų administratoriaus darbą, jei neturite jokios patirties? Tuomet CCNA sertifikatas tikrai padės. Turint CCNA šansai būti pakviestam į pokalbį yra labai dideli. Galima sakyti, kad CCNA sertifikatas darbo negarantuoja, bet garantuoja pokalbį dėl darbo. Na, o pokalbyje viskas priklausys nuo jūsų asmenybės. Jei sugebėsite įtikinti darbdavį, kad esate tas darbuotojas, kurio jis ieško – tuomet darbo vieta garantuota.

Posted in admino darbas | Leave a comment

Google ir vėl pagreitino internetą

Google mokslininkai neseniai pranešė apie 2 naujus TCP protokolo patobulinimus, kurie pagreitins internetą: TCP Fast Open ir TCP Proportional Rate Reduction.

TCP Fast Open

Prieš pradedant siųsti ar gauti duomenis TCP protokolu, iš pradžių reikia užmegzti TCP ryšį. Ryšio užmezgimui naudojamas TCP SYN+ACK Handshake mechanizmas. Šio mechanizmo esmė ta, kad klientas su serveriu iš pradžių apsikeičia SYN ir SYN+ACK paketais su įvairiais TCP ryšio parametrais. Tik tuomet, kai ryšys sėkmingai užmegztas, galima pradėti siųsti duomenis. Nuo TCP protokolo sukūrimo laikų iki šiol buvo pasiūlyta (ir įgyvendinta) daug TCP protokolo patobulinimų, kurie padidino duomenų siuntimo spartą. Tačiau ryšio užmezgimo mechanizmas buvo praktiškai neliečiamas. Google pasiūlė metodą, kaip pradėti duomenis siųsti jau ryšio užmezgimo metu.

Ryšio užmezgimas trunka paprastai nuo 10 ms iki 200-300 ms, tačiau, jei ryšys lėtas, gali trukti netgi iki 1000 ms. Kai pradedami siųsti duomenys ir ryšio sesija trunka ilgai, kelias minutes ar net valandas, kaip kad, pavyzdžiui, FTP ryšio metu, tuomet tos sutaupytos 200 ms didelio skirtumo nedaro. Tačiau interneto svetainių turinys dažniausiai būna sudarytas iš daug mažų objektų, kurių vidurkis yra 7,3 KB, o mediana – 2,4 KB. Kiekvienam objektui persiųsti atidaroma nauja TCP sesija, kuri trunka labai trumpai, kartais tik sekundės dalis. Šiuo atveju Google pasiūlytas TCP Fast Open mechanizmas, pradedantis siųsti duomenis jau ryšio užmezgimo metu, pagreitina svetainės užkrovimą apie 10-15%, o kartais net iki 40%.

Ir svarbiausia, kad Google ne tik atliko teorinius skaičiavimus, bet ir jau įdiegė šią naujovę į Google serverius, į Linux’o TCP/IP steką (3.x serijos Linux branduoliuse), į Chrome naršyklę ir Apache web serverį. Tad labai tikėtina, kad kai kurie iš jūsų netrukus jau naudosis šiuo nauju patobulinimu.

Naujasis mechanizmas gana paprastas, bet jame apgalvota kiekviena smulkmena: apsauga nuo SYN atakų, DOS atakų ir pan. Skaitykite plačiau apie TCP Fast Open.

TCP Proportional Rate Reduction

Mūsų interneto šlangos nebegalinės, todėl neišvengiamai kai kurie duomenų paketai pražūsta pakeliui. Google ištyrė, kad pradingus bent vienam paketui, TCP duomenų patvirtinimo paketo (ACK paketo) siuntimas užtrunka 7-10 kartų ilgiau, negu įprastu atveju, kai nedingsta nei vienas paketas.

TCP protokole yra įdiegta keletas mechanizmų, nurodančių kaip elgtis pradingus paketui: slow start, congestion avoidance, fast retransmit ir fast recovery. Vėliau protokolas buvo papildytas congestion window, newReno, SACK, rate halving ir kitais mechanizmais. Šie mechanizmai nurodo kada, kaip, kokiu greičiu ir kokiais kiekiais reikia pakartotinai siųsti pradingusius duomenis. Būtent ši sritis – pradingusių duomenų persiuntimas – ir buvo labiausiai tobulinama per 40 TCP protokolo gyvavimo metų.

Google inžinieriai, ištyrę keletą milijardų TCP sesijų tarp klientų ir savo serverių, nustatė, kad dabartiniai srauto valdymo mechanizmai dažnai elgiasi pernelyg konservatyviai arba pernelyg agresyviai. Pakartotinus duomenis siųsdami per lėtai arba per greitai šie mechanizmai arba neišnaudoja viso kanalo, arba per anksti vėl jį užkemša.

Google eksperimentiškai bandė atrasti balansą tarp per greit ir per lėtai. Įdiegus jų pasiūlytą naująjį dingusių paketų persiuntimo mechanizmą svetainės vidutiniškai atsiunčiamos 3-10% greičiau. Google inžinieriai šį mechanizmą jau įdiegė Linux 3.x serijos branduoliuose, tad jei duomenys siunčiami iš Linux serverio su nauju branduoliu, tikėtina, kad duomenis gausite šiek tiek greičiau, nei iš kito serverio.

Plačiau apie Proportional Rate Reduction skaitykite čia. Rekomenduoju visiems, besidomintiems QoS.

Posted in TCP protokolas | Leave a comment

DDOS atakų ataskaita – Arbornet 2011

Kompanija Arbor Networks kasmet vykdo apklausą ir išleidžia kompiuterių tinklų saugumo ataskaitą. Neseniai pasirodė 2011 metų ataskaita.

Šiemet didžiausia DDOS ataka siekė 60 Gbps (pernai – 100 Gbps). Nuo DDOS atakų yra labai sudėtinga apsiginti, o nuo tokio maštabo atakos praktiškai neįmanoma. Gynybai paprastai naudojami ACL, juodosios skylės (blackholing), load balancer’iai ir visokie kitokie gudrūs ir paprasti mechanizmai. Tačiau kokią gynybą benaudotumėt, 100 Gbps DDOS ataka – tai ne vaikų žaidimas.

arbornet_largest_ddos

Didžiausios DDOS atakos - Arbornet 2011

Populiariausias DDOS atakų taikinys pagal protokolą išlieka HTTP protokolas. Antroje vietoje – DNS protokolas.

arbornet_popular_ddos_target

Populiariausi DDOS atakų taikiniai - Arbornet 2011

Populiariausias DDOS atakų metodas 2011-aisiais buvo HTTP GET. Matyt dėl to, kad visada veikia 100%.

arbornet_popular_ddos_type

Populiariausi DDOS atakų tipai - Arbornet 2011

Visą ataskaitą su diagramom ir daug įdomių įžvalgų galima nemokamai atsiųsti iš čia: http://www.arbornetworks.com/report.

Posted in hakeriai | Leave a comment

Kaip pakeisti kompiuterio MAC adresą Linux sistemoje?

MAC (Media Access Control) adresas yra gamybos metu į tinklo plokštę hardwariškai įrašomas adresas ir jo pakeisti neįmanoma. Šį MAC adresą tinklo plokštės tvarkyklė įrašo į kiekvieną išsiunčiamą paketą. Štai čia jį ir galima pakeisti, t.y. tvarkyklei nurodyti, kad į kiekvieną paketą programiškai būtų įrašomas ne tikrasis MAC adresas, o netikras.

Linux sistemoje tą galima padaryti keliomis komandomis: ip link, ifconfig ir macchanger.

ip link

Komanda ip link priklauso paketui iproute. Šis paketas yra labai galingų Linux įrankių rinkinys, savo funkcionalumu ir galimybėmis prilygstantis Cisco komandoms. Komandų sintaksė irgi šiek tiek primena Cisco komandas.

Pasižiūrime į tinklo plokštės MAC adresą.

root@pasaka:~# ip link show eth0
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast qlen 1000
    link/ether 00:c0:9f:55:6e:e3 brd ff:ff:ff:ff:ff:ff

Norėdami jį pakeisti, iš pradžių turime išjungti interfeisą.

root@pasaka:~# ip link set eth0 down
root@pasaka:~# ip link show eth0
2: eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc pfifo_fast qlen 1000
    link/ether 00:c0:9f:55:6e:e3 brd ff:ff:ff:ff:ff:ff

Pakeičiame MAC adresą.

root@pasaka:~# ip link set eth0 address 00:11:22:33:44:55
root@pasaka:~# ip link show eth0
2: eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc pfifo_fast qlen 1000
    link/ether 00:11:22:33:44:55 brd ff:ff:ff:ff:ff:ff

Kai naujas MAC adresas įrašytas, belieka įjungti interfeisą ir jis bus paruoštas naudoti su naujuoju MAC adresu. Beje, komandas galima trumpinti, visai kaip ir Cisco komandų aplinkoje.

root@pasaka:~# ip l set eth0 up
root@pasaka:~# ip l sh eth0
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast qlen 1000
    link/ether 00:11:22:33:44:55 brd ff:ff:ff:ff:ff:ff

ifconfig

Paketas iproute būna įdiegtas ne visose Linux sistemose, todėl kartais gali tekti naudoti senesnę programą ifconfig. Ji nėra tokia galinga kaip iproute, bet ji būna beveik be išimties visose Linux/Unix sistemose.

root@pasaka:~# ifconfig eth0
eth0      Link encap:Ethernet  HWaddr 00:c0:9f:55:6e:e3
          inet6 addr: fe80::2c0:9fff:fe55:6ee3/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:370108 errors:0 dropped:0 overruns:0 frame:0
          TX packets:248931 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:414757035 (395.5 MB)  TX bytes:52503880 (50.0 MB)
          Interrupt:10 Base address:0x3000
root@pasaka:~# ifconfig eth0 down
root@pasaka:~# ifconfig eth0 hw ether 00:11:22:33:44:55
root@pasaka:~# ifconfig eth0 up
root@pasaka:~# ifconfig eth0
eth0      Link encap:Ethernet  HWaddr 00:11:22:33:44:55
          inet6 addr: fe80::211:22ff:fe33:4455/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:370108 errors:0 dropped:0 overruns:0 frame:0
          TX packets:248936 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:414757035 (395.5 MB)  TX bytes:52504258 (50.0 MB)
          Interrupt:10 Base address:0x3000

macchanger

Pabaigai liko pats patogiausias įrankis MAC adreso keitimui – komanda macchanger. Šios komandos vienintelė paskirtis – pakeisti MAC adresą, todėl ji turi kelias patogias specifines funkcijas: gali automatiškai pakeisti visą adresą, tik 3 paskutinius baitus, praneša MAC adreso gamintoją ir pan.

root@pasaka:~# macchanger --help
GNU MAC Changer
Usage: macchanger [options] device

  -h,  --help                   Print this help
  -V,  --version                Print version and exit
  -s,  --show                   Print the MAC address and exit
  -e,  --endding                Don't change the vendor bytes
  -a,  --another                Set random vendor MAC of the same kind
  -A                            Set random vendor MAC of any kind
  -r,  --random                 Set fully random MAC
  -l,  --list[=keyword]         Print known vendors
  -m,  --mac=XX:XX:XX:XX:XX:XX  Set the MAC XX:XX:XX:XX:XX:XX

Report bugs to alvaro@gnu.org
root@pasaka:~# macchanger -m 00:11:22:33:44:55 eth0
Current MAC: 00:c0:9f:55:6e:e3 (Quanta Computer, Inc.)
Faked MAC:   00:11:22:33:44:55 (Cimsys Inc)

Visi šie pakeitimai galios iki kito MAC adreso pakeitimo arba kompiuterio perkrovimo. Yra 2 metodai išsaugoti pakeistą MAC adresą po kompiuterio perkrovimo: gerasis ir blogasis.

Gerasis metodas yra įrašyti naująjį MAC adresą į Linux distribucijos tinklo konfigūracijos failą. Kiekvienoje distribucijoje šis failas yra skirtingoje vietoje ir skirtingai konfigūruojamas. Pavyzdžiui, Debian sistemoje reikia į failą /etc/network/interfaces, į eth0 sekciją, įrašyti eilutę

hwaddress ether 00:11:22:33:44:55

Jei nežinote, kur toks failas yra, teks naudoti blogąjį metodą. Teks įrašyti tą pačią komandą, kurią naudojote MAC adreso keitimui, į kokį nors sistemos startavimo metu paleidžiamą failą. Tokių failų vieta vėlgi priklauso nuo sistemos, pavyzdžiui, Debiane tai /etc/rc2.d/ aplankas.

Posted in tinklo plokštė | Tagged | Leave a comment