[caiu] RES: RES: Operadoras Sobre Ataque

Pablo Antônio Costa pablo.costa em brainfarma.ind.br
Quinta Setembro 24 11:54:06 BRT 2015


Uso trafip para +- 20 links MPLS de +- 20Mb cada. Ótimo com netflow. SLA View iremos implementar próximo mês parece muito bom. Recomendo o Trafip.

-----Mensagem original-----
De: caiu [mailto:caiu-bounces em eng.registro.br] Em nome de André Andrade
Enviada em: quinta-feira, 24 de setembro de 2015 10:51
Para: Lista das indisponibilidades da Internet brasileira
Assunto: Re: [caiu] RES: Operadoras Sobre Ataque

Com o trafip vc faz tudo isso é muito mais. Ele tb trabalha com coleta de flow e usa snmp para localizar as interfaces. Eles tem o SLA VIEW q esse sim é somente snmp igual cacti prtg e outros.

Enviado do meu iPhone

> Em 24/09/2015, às 10:45, Diego Canton de Brito <diegocanton em ensite.com.br> escreveu:
> 
> Não usei esse, mas parece que ele trabalha com SNMP, o NfSen e 
> FastNetMon trabalham com Flows(Netflow), estou exportando IpFix dos 
> roteadores Juniper e coletando eles no NfSen e FastNetMon, com esses 
> dados de flows consigo montar no NfSen gráficos por protocolos, ASN, CIDR, Portas e interfaces.
> Para identificar ataques e sua origem os flows são como um TORCH do 
> RouterOS, desde que se tenha as ferramentas para tratamento.
> 
> Para monitoramento de rede parece ser bom, mas Zabbix, PRTG e outros 
> fazem o mesmo.
> 
> Veja se há diferença: 
> http://www.pop-go.rnp.br/docs/flows.pdf
> https://www.pop-ba.rnp.br/pub/WTR2011/MaterialPalestrasMinicursos/MonI
> PE-Sur
> uagy.pdf
> https://www.youtube.com/watch?v=oipMSiBWB08
> 
> 
> Att,
> 
> 
> -----Mensagem original-----
> De: caiu [mailto:caiu-bounces em eng.registro.br] Em nome de André 
> Andrade Enviada em: quinta-feira, 24 de setembro de 2015 09:51
> Para: Lista das indisponibilidades da Internet brasileira
> Assunto: Re: [caiu] Operadoras Sobre Ataque
> 
> Diego...o que você me fala do Trafip?
> Fiquei estou a pouco mais de 1mês testando a plataforma deles e achei 
> bem interessante, não tenho experiencia com outros applice, mais esse 
> eu recomendo.
> 
> Abraço
> 
> Em 24 de setembro de 2015 01:29, Diego Canton de Brito < 
> diegocanton em ensite.com.br> escreveu:
> 
>> 
>> 
>> Galera, atualmente implementamos o FastNetMon com ExaBGP, ainda não 
>> houve um ataque que atinga o volume configurado, mas é uma ideia que 
>> deixo para vocês, isso ajuda a reduzir o tempo de mitigação, se não 
>> me engano ele identifica e age em alguns segundos. Antes utilizavamos 
>> nfsen para processar os dados de Flows, mas era lento, tentamos 
>> programar scripts para reduzir o tempo, mas no fim o FastNetMon se 
>> mostrou muito eficiente nos testes.
>> 
>> Quanto a BH via Algar, amigo CTBC, me corrija se errado, notei que o 
>> discard para SRR, não tenho certeza, fica no roteador de SRR ou RPO, 
>> ou seja não é propagado, logo um ataque maior que o transporte gera 
>> redução de trafego. Os últimos ataques que recebemos sempre 
>> ultrapassaram 2.5Gbps, geralmente UDP Flood, amplificações DNS e NTP.
>> Caso eu esteja certo, seria interessante se os IPs anunciados em BH 
>> fossem replicados para outros roteadores até chegar nas Bordas de 
>> transito da Algar para serem mitigados antes de comprometer a rede 
>> como um
> todo.
>> 
>> Bom fica a dica para vocês
>> https://github.com/FastVPSEestiOu/fastnetmon
>> e http://nfsen.sourceforge.net/ e
>> https://github.com/sleinen/samplicator
>> 
>> 
>> ---
>> 
>> Att.
>> 
>> -------------------------
>> 
>> DIEGO CANTON DE BRITO
>> Suporte Técnico - Rede, link dedicado e servidores ENSITE TELECOM 
>> suporte em ensite.com.br diegocanton em ensite.com.br
>> +55 18 3638 1001 - Suporte Técnico
>> +55 18 3638 1001 - Link Dedicado
>> +55 18 3638 1003 - Telefonia
>> 0800 772 9147
>> 
>> Em 2015-09-24 01:08, André Andrade escreveu:
>> 
>>> To contigo nessa Caio.
>>> 
>>> Se cada um fizer sua parte e de maneira rápida, seria muito melhor 
>>> para
>> todos nós.
>>> 
>>> Abraço.
>>> 
>>> Enviado do meu iPhone
>>> Em 24/09/2015, às 00:26, Caio <caiot5 em gmail.com> escreveu: Já passei
>> por situações idênticas (fazer blackhole e a propagacao demorar, 
>> quase como se fosse manual) e realmente as "mágicas" não funcionaram 
>> nunca kkk Atualmente estamos notando redução de desempenho em 
>> diversos circuitos que passam em Rio Preto devido aos ataques que 
>> vocês estão sofrendo desde o dia 20. Na minha opinião falta 
>> proatividade dentro da Algar, alguém com o foco no negócio, com 
>> interesse em resolver rápido o problema do cliente e responder aos 
>> questionamentos com clareza e sem lenga lenga de "não foram 
>> encontrados problemas". On Wednesday, September 23, 2015, André 
>> Andrade < andre em n4telecom.com.br> wrote: De
> qualquer forma foi resolvido sim...
>> Desde de o dia 20 venho notando esse problema na rede Algar pós blackhole.
>> Em 23 de setembro de 2015 23:39, CTBC Telecom <algartelecom em gmail.com 
>> <javascript:;>> escreveu: Algumas "mágicas" não funcionaram de 
>> maneira automática :) 2015-09-23 23:37
>> GMT-03:00 André Andrade <andre em n4telecom.com.br <javascript:;>>: 
>> Percebi que essa queda no rendimento acontece depois que envio o IP 
>> atacado que foi dentro da minha rede para a Black-hole da Algar. Esse 
>> IP publicado na Black-hole não deveria ser repassado  automaticamente
>> 
>>>> para as blackhole da redes subsequentes??? Porque demora cerca de 
>>>> 20min
>> para publicar isso? Em 23 de setembro de 2015 23:32, CTBC Telecom < 
>> algartelecom em gmail.com  <javascript:;>>
>> 
>>> escreveu: Se for interior de São Paulo, era ataque em direção a um
>> cliente que
>>>> 
>>> foi mitigado. 2015-09-23 23:26 GMT-03:00 CTBC Telecom <
>> algartelecom em gmail.com
>> <javascript:;>>:
>> 
>>> Qual região? 2015-09-23 23:14 GMT-03:00 André Andrade <
>> andre em n4telecom.com.br
>> <javascript:;>>:
>> 
>>> Alguem mais com problema de queda de rendimento no link ALGAR??? 
>>> Acabei
>> de enviar para blackhole um ip que estava recebendo ataque  e
>> 
>>> logo depois a Algar caiu o rendimento para 30% do total. -- André
>> Andrade www.n4telecom.com.br [1]
>> _______________________________________________ caiu mailing list 
>> caiu em eng.registro.br <javascript:;> 
>> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA 
>> LISTA SIGA AS INSTRUÇÕES em:
>> https://eng.registro.br/mailman/options/caiu [3] 
>> _______________________________________________ caiu mailing list 
>> caiu em eng.registro.br <javascript:;> 
>> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA 
>> LISTA SIGA AS INSTRUÇÕES em:
>> https://eng.registro.br/mailman/options/caiu [3]
>> -- André Andrade www.n4telecom.com.br [1] 
>> _______________________________________________ caiu mailing list 
>> caiu em eng.registro.br <javascript:;> 
>> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA 
>> LISTA SIGA AS INSTRUÇÕES em:
>> https://eng.registro.br/mailman/options/caiu [3] 
>> _______________________________________________ caiu mailing list 
>> caiu em eng.registro.br <javascript:;> 
>> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA 
>> LISTA SIGA AS INSTRUÇÕES em:
>> https://eng.registro.br/mailman/options/caiu [3]
>> -- André Andrade www.n4telecom.com.br [1] 
>> _______________________________________________ caiu mailing list 
>> caiu em eng.registro.br <javascript:;> 
>> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA 
>> LISTA SIGA AS INSTRUÇÕES em:
>> https://eng.registro.br/mailman/options/caiu [3] 
>> _______________________________________________ caiu mailing list 
>> caiu em eng.registro.br https://eng.registro.br/mailman/listinfo/caiu 
>> [2]
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> https://eng.registro.br/mailman/options/caiu [3]
>> 
>> _______________________________________________
>> caiu mailing list
>> caiu em eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu [2]
>> 
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> 
>> https://eng.registro.br/mailman/options/caiu [3]
>> 
>> 
>> 
>> Links:
>> ------
>> [1] http://www.n4telecom.com.br
>> [2] https://eng.registro.br/mailman/listinfo/caiu
>> [3] https://eng.registro.br/mailman/options/caiu
>> _______________________________________________
>> caiu mailing list
>> caiu em eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>> 
>> 
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> 
>> https://eng.registro.br/mailman/options/caiu
> 
> 
> 
> --
> André Andrade
> www.n4telecom.com.br
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
> 
> 
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> 
> https://eng.registro.br/mailman/options/caiu
> 
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
> 
> 
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> 
> https://eng.registro.br/mailman/options/caiu
_______________________________________________
caiu mailing list
caiu em eng.registro.br
https://eng.registro.br/mailman/listinfo/caiu


--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:

https://eng.registro.br/mailman/options/caiu


Mais detalhes sobre a lista de discussão caiu