[caiu] RES: Operadoras Sobre Ataque

Diego Canton de Brito diegocanton em ensite.com.br
Quinta Setembro 24 10:45:53 BRT 2015


Não usei esse, mas parece que ele trabalha com SNMP, o NfSen e FastNetMon
trabalham com Flows(Netflow), estou exportando IpFix dos roteadores Juniper
e coletando eles no NfSen e FastNetMon, com esses dados de flows consigo
montar no NfSen gráficos por protocolos, ASN, CIDR, Portas e interfaces.
Para identificar ataques e sua origem os flows são como um TORCH do
RouterOS, desde que se tenha as ferramentas para tratamento.

Para monitoramento de rede parece ser bom, mas Zabbix, PRTG e outros fazem o
mesmo.

Veja se há diferença: 
http://www.pop-go.rnp.br/docs/flows.pdf
https://www.pop-ba.rnp.br/pub/WTR2011/MaterialPalestrasMinicursos/MonIPE-Sur
uagy.pdf
https://www.youtube.com/watch?v=oipMSiBWB08


Att,


-----Mensagem original-----
De: caiu [mailto:caiu-bounces em eng.registro.br] Em nome de André Andrade
Enviada em: quinta-feira, 24 de setembro de 2015 09:51
Para: Lista das indisponibilidades da Internet brasileira
Assunto: Re: [caiu] Operadoras Sobre Ataque

Diego...o que você me fala do Trafip?
Fiquei estou a pouco mais de 1mês testando a plataforma deles e achei bem
interessante, não tenho experiencia com outros applice, mais esse eu
recomendo.

Abraço

Em 24 de setembro de 2015 01:29, Diego Canton de Brito <
diegocanton em ensite.com.br> escreveu:

>
>
> Galera, atualmente implementamos o FastNetMon com ExaBGP, ainda não 
> houve um ataque que atinga o volume configurado, mas é uma ideia que 
> deixo para vocês, isso ajuda a reduzir o tempo de mitigação, se não me 
> engano ele identifica e age em alguns segundos. Antes utilizavamos 
> nfsen para processar os dados de Flows, mas era lento, tentamos 
> programar scripts para reduzir o tempo, mas no fim o FastNetMon se 
> mostrou muito eficiente nos testes.
>
> Quanto a BH via Algar, amigo CTBC, me corrija se errado, notei que o 
> discard para SRR, não tenho certeza, fica no roteador de SRR ou RPO, 
> ou seja não é propagado, logo um ataque maior que o transporte gera 
> redução de trafego. Os últimos ataques que recebemos sempre 
> ultrapassaram 2.5Gbps, geralmente UDP Flood, amplificações DNS e NTP. 
> Caso eu esteja certo, seria interessante se os IPs anunciados em BH 
> fossem replicados para outros roteadores até chegar nas Bordas de 
> transito da Algar para serem mitigados antes de comprometer a rede como um
todo.
>
> Bom fica a dica para vocês 
> https://github.com/FastVPSEestiOu/fastnetmon
> e http://nfsen.sourceforge.net/ e 
> https://github.com/sleinen/samplicator
>
>
> ---
>
> Att.
>
> -------------------------
>
> DIEGO CANTON DE BRITO
> Suporte Técnico - Rede, link dedicado e servidores ENSITE TELECOM 
> suporte em ensite.com.br diegocanton em ensite.com.br
> +55 18 3638 1001 - Suporte Técnico
> +55 18 3638 1001 - Link Dedicado
> +55 18 3638 1003 - Telefonia
> 0800 772 9147
>
> Em 2015-09-24 01:08, André Andrade escreveu:
>
> > To contigo nessa Caio.
> >
> > Se cada um fizer sua parte e de maneira rápida, seria muito melhor 
> > para
> todos nós.
> >
> > Abraço.
> >
> > Enviado do meu iPhone
> > Em 24/09/2015, às 00:26, Caio <caiot5 em gmail.com> escreveu: Já passei
> por situações idênticas (fazer blackhole e a propagacao demorar, quase 
> como se fosse manual) e realmente as "mágicas" não funcionaram nunca 
> kkk Atualmente estamos notando redução de desempenho em diversos 
> circuitos que passam em Rio Preto devido aos ataques que vocês estão 
> sofrendo desde o dia 20. Na minha opinião falta proatividade dentro da 
> Algar, alguém com o foco no negócio, com interesse em resolver rápido 
> o problema do cliente e responder aos questionamentos com clareza e 
> sem lenga lenga de "não foram encontrados problemas". On Wednesday, 
> September 23, 2015, André Andrade < andre em n4telecom.com.br> wrote: De
qualquer forma foi resolvido sim...
> Desde de o dia 20 venho notando esse problema na rede Algar pós blackhole.
> Em 23 de setembro de 2015 23:39, CTBC Telecom <algartelecom em gmail.com 
> <javascript:;>> escreveu: Algumas "mágicas" não funcionaram de maneira 
> automática :) 2015-09-23 23:37
> GMT-03:00 André Andrade <andre em n4telecom.com.br <javascript:;>>: 
> Percebi que essa queda no rendimento acontece depois que envio o IP 
> atacado que foi dentro da minha rede para a Black-hole da Algar. Esse 
> IP publicado na Black-hole não deveria ser repassado  automaticamente
>
> >> para as blackhole da redes subsequentes??? Porque demora cerca de 
> >> 20min
> para publicar isso? Em 23 de setembro de 2015 23:32, CTBC Telecom < 
> algartelecom em gmail.com  <javascript:;>>
>
> > escreveu: Se for interior de São Paulo, era ataque em direção a um
> cliente que
>>
> > foi mitigado. 2015-09-23 23:26 GMT-03:00 CTBC Telecom <
> algartelecom em gmail.com
>  <javascript:;>>:
>
> > Qual região? 2015-09-23 23:14 GMT-03:00 André Andrade <
> andre em n4telecom.com.br
>  <javascript:;>>:
>
> > Alguem mais com problema de queda de rendimento no link ALGAR??? 
> > Acabei
> de enviar para blackhole um ip que estava recebendo ataque  e
>
> > logo depois a Algar caiu o rendimento para 30% do total. -- André
> Andrade www.n4telecom.com.br [1]
> _______________________________________________ caiu mailing list 
> caiu em eng.registro.br <javascript:;> 
> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA 
> LISTA SIGA AS INSTRUÇÕES em: 
> https://eng.registro.br/mailman/options/caiu [3]  
> _______________________________________________ caiu mailing list 
> caiu em eng.registro.br <javascript:;> 
> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA 
> LISTA SIGA AS INSTRUÇÕES em: 
> https://eng.registro.br/mailman/options/caiu [3]
> -- André Andrade www.n4telecom.com.br [1] 
> _______________________________________________ caiu mailing list 
> caiu em eng.registro.br <javascript:;> 
> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA 
> LISTA SIGA AS INSTRUÇÕES em: 
> https://eng.registro.br/mailman/options/caiu [3] 
> _______________________________________________ caiu mailing list 
> caiu em eng.registro.br <javascript:;> 
> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA 
> LISTA SIGA AS INSTRUÇÕES em: 
> https://eng.registro.br/mailman/options/caiu [3]
> -- André Andrade www.n4telecom.com.br [1] 
> _______________________________________________ caiu mailing list 
> caiu em eng.registro.br <javascript:;> 
> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA 
> LISTA SIGA AS INSTRUÇÕES em: 
> https://eng.registro.br/mailman/options/caiu [3] 
> _______________________________________________ caiu mailing list 
> caiu em eng.registro.br https://eng.registro.br/mailman/listinfo/caiu [2]
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> https://eng.registro.br/mailman/options/caiu [3]
>
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu [2]
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu [3]
>
>
>
> Links:
> ------
> [1] http://www.n4telecom.com.br
> [2] https://eng.registro.br/mailman/listinfo/caiu
> [3] https://eng.registro.br/mailman/options/caiu
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>



--
André Andrade
www.n4telecom.com.br
_______________________________________________
caiu mailing list
caiu em eng.registro.br
https://eng.registro.br/mailman/listinfo/caiu


--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:

https://eng.registro.br/mailman/options/caiu



Mais detalhes sobre a lista de discussão caiu