[caiu] RES: Operadoras Sobre Ataque
André Andrade
andre em n4telecom.com.br
Quinta Setembro 24 10:50:53 BRT 2015
Com o trafip vc faz tudo isso é muito mais. Ele tb trabalha com coleta de flow e usa snmp para localizar as interfaces. Eles tem o SLA VIEW q esse sim é somente snmp igual cacti prtg e outros.
Enviado do meu iPhone
> Em 24/09/2015, às 10:45, Diego Canton de Brito <diegocanton em ensite.com.br> escreveu:
>
> Não usei esse, mas parece que ele trabalha com SNMP, o NfSen e FastNetMon
> trabalham com Flows(Netflow), estou exportando IpFix dos roteadores Juniper
> e coletando eles no NfSen e FastNetMon, com esses dados de flows consigo
> montar no NfSen gráficos por protocolos, ASN, CIDR, Portas e interfaces.
> Para identificar ataques e sua origem os flows são como um TORCH do
> RouterOS, desde que se tenha as ferramentas para tratamento.
>
> Para monitoramento de rede parece ser bom, mas Zabbix, PRTG e outros fazem o
> mesmo.
>
> Veja se há diferença:
> http://www.pop-go.rnp.br/docs/flows.pdf
> https://www.pop-ba.rnp.br/pub/WTR2011/MaterialPalestrasMinicursos/MonIPE-Sur
> uagy.pdf
> https://www.youtube.com/watch?v=oipMSiBWB08
>
>
> Att,
>
>
> -----Mensagem original-----
> De: caiu [mailto:caiu-bounces em eng.registro.br] Em nome de André Andrade
> Enviada em: quinta-feira, 24 de setembro de 2015 09:51
> Para: Lista das indisponibilidades da Internet brasileira
> Assunto: Re: [caiu] Operadoras Sobre Ataque
>
> Diego...o que você me fala do Trafip?
> Fiquei estou a pouco mais de 1mês testando a plataforma deles e achei bem
> interessante, não tenho experiencia com outros applice, mais esse eu
> recomendo.
>
> Abraço
>
> Em 24 de setembro de 2015 01:29, Diego Canton de Brito <
> diegocanton em ensite.com.br> escreveu:
>
>>
>>
>> Galera, atualmente implementamos o FastNetMon com ExaBGP, ainda não
>> houve um ataque que atinga o volume configurado, mas é uma ideia que
>> deixo para vocês, isso ajuda a reduzir o tempo de mitigação, se não me
>> engano ele identifica e age em alguns segundos. Antes utilizavamos
>> nfsen para processar os dados de Flows, mas era lento, tentamos
>> programar scripts para reduzir o tempo, mas no fim o FastNetMon se
>> mostrou muito eficiente nos testes.
>>
>> Quanto a BH via Algar, amigo CTBC, me corrija se errado, notei que o
>> discard para SRR, não tenho certeza, fica no roteador de SRR ou RPO,
>> ou seja não é propagado, logo um ataque maior que o transporte gera
>> redução de trafego. Os últimos ataques que recebemos sempre
>> ultrapassaram 2.5Gbps, geralmente UDP Flood, amplificações DNS e NTP.
>> Caso eu esteja certo, seria interessante se os IPs anunciados em BH
>> fossem replicados para outros roteadores até chegar nas Bordas de
>> transito da Algar para serem mitigados antes de comprometer a rede como um
> todo.
>>
>> Bom fica a dica para vocês
>> https://github.com/FastVPSEestiOu/fastnetmon
>> e http://nfsen.sourceforge.net/ e
>> https://github.com/sleinen/samplicator
>>
>>
>> ---
>>
>> Att.
>>
>> -------------------------
>>
>> DIEGO CANTON DE BRITO
>> Suporte Técnico - Rede, link dedicado e servidores ENSITE TELECOM
>> suporte em ensite.com.br diegocanton em ensite.com.br
>> +55 18 3638 1001 - Suporte Técnico
>> +55 18 3638 1001 - Link Dedicado
>> +55 18 3638 1003 - Telefonia
>> 0800 772 9147
>>
>> Em 2015-09-24 01:08, André Andrade escreveu:
>>
>>> To contigo nessa Caio.
>>>
>>> Se cada um fizer sua parte e de maneira rápida, seria muito melhor
>>> para
>> todos nós.
>>>
>>> Abraço.
>>>
>>> Enviado do meu iPhone
>>> Em 24/09/2015, às 00:26, Caio <caiot5 em gmail.com> escreveu: Já passei
>> por situações idênticas (fazer blackhole e a propagacao demorar, quase
>> como se fosse manual) e realmente as "mágicas" não funcionaram nunca
>> kkk Atualmente estamos notando redução de desempenho em diversos
>> circuitos que passam em Rio Preto devido aos ataques que vocês estão
>> sofrendo desde o dia 20. Na minha opinião falta proatividade dentro da
>> Algar, alguém com o foco no negócio, com interesse em resolver rápido
>> o problema do cliente e responder aos questionamentos com clareza e
>> sem lenga lenga de "não foram encontrados problemas". On Wednesday,
>> September 23, 2015, André Andrade < andre em n4telecom.com.br> wrote: De
> qualquer forma foi resolvido sim...
>> Desde de o dia 20 venho notando esse problema na rede Algar pós blackhole.
>> Em 23 de setembro de 2015 23:39, CTBC Telecom <algartelecom em gmail.com
>> <javascript:;>> escreveu: Algumas "mágicas" não funcionaram de maneira
>> automática :) 2015-09-23 23:37
>> GMT-03:00 André Andrade <andre em n4telecom.com.br <javascript:;>>:
>> Percebi que essa queda no rendimento acontece depois que envio o IP
>> atacado que foi dentro da minha rede para a Black-hole da Algar. Esse
>> IP publicado na Black-hole não deveria ser repassado automaticamente
>>
>>>> para as blackhole da redes subsequentes??? Porque demora cerca de
>>>> 20min
>> para publicar isso? Em 23 de setembro de 2015 23:32, CTBC Telecom <
>> algartelecom em gmail.com <javascript:;>>
>>
>>> escreveu: Se for interior de São Paulo, era ataque em direção a um
>> cliente que
>> já
>>
>>> foi mitigado. 2015-09-23 23:26 GMT-03:00 CTBC Telecom <
>> algartelecom em gmail.com
>> <javascript:;>>:
>>
>>> Qual região? 2015-09-23 23:14 GMT-03:00 André Andrade <
>> andre em n4telecom.com.br
>> <javascript:;>>:
>>
>>> Alguem mais com problema de queda de rendimento no link ALGAR???
>>> Acabei
>> de enviar para blackhole um ip que estava recebendo ataque e
>>
>>> logo depois a Algar caiu o rendimento para 30% do total. -- André
>> Andrade www.n4telecom.com.br [1]
>> _______________________________________________ caiu mailing list
>> caiu em eng.registro.br <javascript:;>
>> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA
>> LISTA SIGA AS INSTRUÇÕES em:
>> https://eng.registro.br/mailman/options/caiu [3]
>> _______________________________________________ caiu mailing list
>> caiu em eng.registro.br <javascript:;>
>> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA
>> LISTA SIGA AS INSTRUÇÕES em:
>> https://eng.registro.br/mailman/options/caiu [3]
>> -- André Andrade www.n4telecom.com.br [1]
>> _______________________________________________ caiu mailing list
>> caiu em eng.registro.br <javascript:;>
>> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA
>> LISTA SIGA AS INSTRUÇÕES em:
>> https://eng.registro.br/mailman/options/caiu [3]
>> _______________________________________________ caiu mailing list
>> caiu em eng.registro.br <javascript:;>
>> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA
>> LISTA SIGA AS INSTRUÇÕES em:
>> https://eng.registro.br/mailman/options/caiu [3]
>> -- André Andrade www.n4telecom.com.br [1]
>> _______________________________________________ caiu mailing list
>> caiu em eng.registro.br <javascript:;>
>> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA
>> LISTA SIGA AS INSTRUÇÕES em:
>> https://eng.registro.br/mailman/options/caiu [3]
>> _______________________________________________ caiu mailing list
>> caiu em eng.registro.br https://eng.registro.br/mailman/listinfo/caiu [2]
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> https://eng.registro.br/mailman/options/caiu [3]
>>
>> _______________________________________________
>> caiu mailing list
>> caiu em eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu [2]
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>> https://eng.registro.br/mailman/options/caiu [3]
>>
>>
>>
>> Links:
>> ------
>> [1] http://www.n4telecom.com.br
>> [2] https://eng.registro.br/mailman/listinfo/caiu
>> [3] https://eng.registro.br/mailman/options/caiu
>> _______________________________________________
>> caiu mailing list
>> caiu em eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>>
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>> https://eng.registro.br/mailman/options/caiu
>
>
>
> --
> André Andrade
> www.n4telecom.com.br
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
Mais detalhes sobre a lista de discussão caiu