[caiu] RES: RES: Operadoras Sobre Ataque
Caio
caiot5 em gmail.com
Quinta Setembro 24 16:15:36 BRT 2015
Apenas pra referência:
Vi um colega de uma outra empresa usando o FastNetMon, é bacana, mas peca
por não ter o histórico. Se tu não tiver na agulha vendo, corre o risco da
blackhole ser feita, ou notificada e você não ter a noção do diâmetro do
ataque.
O TrafIP consegue mitigar quantidades absurdas de tráfego 10Gbps+ sem
gargalar o hardware, é muito bacana mesmo, a análise é feita por flows e
ele faz algumas coletas no snmp, assim como o outro amigo falou, um produto
bem bacana.
Num outro ambiente de testes tenho um PRTG mitigando, fica um pouco mais
confuso, principalmente pra extrair um relatório mas até que quebra o galho.
Ouvi falar do Polygraph também, mas pro espectro que preciso, ficaria num
valor astronômico.
Testamos o ManageEngine também, mas "não aguenta o tranco" quando tem
muitos flows pra processar (talvez por ser escrito em java).
2015-09-24 11:54 GMT-03:00 Pablo Antônio Costa <
pablo.costa em brainfarma.ind.br>:
> Uso trafip para +- 20 links MPLS de +- 20Mb cada. Ótimo com netflow. SLA
> View iremos implementar próximo mês parece muito bom. Recomendo o Trafip.
>
> -----Mensagem original-----
> De: caiu [mailto:caiu-bounces em eng.registro.br] Em nome de André Andrade
> Enviada em: quinta-feira, 24 de setembro de 2015 10:51
> Para: Lista das indisponibilidades da Internet brasileira
> Assunto: Re: [caiu] RES: Operadoras Sobre Ataque
>
> Com o trafip vc faz tudo isso é muito mais. Ele tb trabalha com coleta de
> flow e usa snmp para localizar as interfaces. Eles tem o SLA VIEW q esse
> sim é somente snmp igual cacti prtg e outros.
>
> Enviado do meu iPhone
>
> > Em 24/09/2015, às 10:45, Diego Canton de Brito <
> diegocanton em ensite.com.br> escreveu:
> >
> > Não usei esse, mas parece que ele trabalha com SNMP, o NfSen e
> > FastNetMon trabalham com Flows(Netflow), estou exportando IpFix dos
> > roteadores Juniper e coletando eles no NfSen e FastNetMon, com esses
> > dados de flows consigo montar no NfSen gráficos por protocolos, ASN,
> CIDR, Portas e interfaces.
> > Para identificar ataques e sua origem os flows são como um TORCH do
> > RouterOS, desde que se tenha as ferramentas para tratamento.
> >
> > Para monitoramento de rede parece ser bom, mas Zabbix, PRTG e outros
> > fazem o mesmo.
> >
> > Veja se há diferença:
> > http://www.pop-go.rnp.br/docs/flows.pdf
> > https://www.pop-ba.rnp.br/pub/WTR2011/MaterialPalestrasMinicursos/MonI
> > PE-Sur
> > uagy.pdf
> > https://www.youtube.com/watch?v=oipMSiBWB08
> >
> >
> > Att,
> >
> >
> > -----Mensagem original-----
> > De: caiu [mailto:caiu-bounces em eng.registro.br] Em nome de André
> > Andrade Enviada em: quinta-feira, 24 de setembro de 2015 09:51
> > Para: Lista das indisponibilidades da Internet brasileira
> > Assunto: Re: [caiu] Operadoras Sobre Ataque
> >
> > Diego...o que você me fala do Trafip?
> > Fiquei estou a pouco mais de 1mês testando a plataforma deles e achei
> > bem interessante, não tenho experiencia com outros applice, mais esse
> > eu recomendo.
> >
> > Abraço
> >
> > Em 24 de setembro de 2015 01:29, Diego Canton de Brito <
> > diegocanton em ensite.com.br> escreveu:
> >
> >>
> >>
> >> Galera, atualmente implementamos o FastNetMon com ExaBGP, ainda não
> >> houve um ataque que atinga o volume configurado, mas é uma ideia que
> >> deixo para vocês, isso ajuda a reduzir o tempo de mitigação, se não
> >> me engano ele identifica e age em alguns segundos. Antes utilizavamos
> >> nfsen para processar os dados de Flows, mas era lento, tentamos
> >> programar scripts para reduzir o tempo, mas no fim o FastNetMon se
> >> mostrou muito eficiente nos testes.
> >>
> >> Quanto a BH via Algar, amigo CTBC, me corrija se errado, notei que o
> >> discard para SRR, não tenho certeza, fica no roteador de SRR ou RPO,
> >> ou seja não é propagado, logo um ataque maior que o transporte gera
> >> redução de trafego. Os últimos ataques que recebemos sempre
> >> ultrapassaram 2.5Gbps, geralmente UDP Flood, amplificações DNS e NTP.
> >> Caso eu esteja certo, seria interessante se os IPs anunciados em BH
> >> fossem replicados para outros roteadores até chegar nas Bordas de
> >> transito da Algar para serem mitigados antes de comprometer a rede
> >> como um
> > todo.
> >>
> >> Bom fica a dica para vocês
> >> https://github.com/FastVPSEestiOu/fastnetmon
> >> e http://nfsen.sourceforge.net/ e
> >> https://github.com/sleinen/samplicator
> >>
> >>
> >> ---
> >>
> >> Att.
> >>
> >> -------------------------
> >>
> >> DIEGO CANTON DE BRITO
> >> Suporte Técnico - Rede, link dedicado e servidores ENSITE TELECOM
> >> suporte em ensite.com.br diegocanton em ensite.com.br
> >> +55 18 3638 1001 - Suporte Técnico
> >> +55 18 3638 1001 - Link Dedicado
> >> +55 18 3638 1003 - Telefonia
> >> 0800 772 9147
> >>
> >> Em 2015-09-24 01:08, André Andrade escreveu:
> >>
> >>> To contigo nessa Caio.
> >>>
> >>> Se cada um fizer sua parte e de maneira rápida, seria muito melhor
> >>> para
> >> todos nós.
> >>>
> >>> Abraço.
> >>>
> >>> Enviado do meu iPhone
> >>> Em 24/09/2015, às 00:26, Caio <caiot5 em gmail.com> escreveu: Já passei
> >> por situações idênticas (fazer blackhole e a propagacao demorar,
> >> quase como se fosse manual) e realmente as "mágicas" não funcionaram
> >> nunca kkk Atualmente estamos notando redução de desempenho em
> >> diversos circuitos que passam em Rio Preto devido aos ataques que
> >> vocês estão sofrendo desde o dia 20. Na minha opinião falta
> >> proatividade dentro da Algar, alguém com o foco no negócio, com
> >> interesse em resolver rápido o problema do cliente e responder aos
> >> questionamentos com clareza e sem lenga lenga de "não foram
> >> encontrados problemas". On Wednesday, September 23, 2015, André
> >> Andrade < andre em n4telecom.com.br> wrote: De
> > qualquer forma foi resolvido sim...
> >> Desde de o dia 20 venho notando esse problema na rede Algar pós
> blackhole.
> >> Em 23 de setembro de 2015 23:39, CTBC Telecom <algartelecom em gmail.com
> >> <javascript:;>> escreveu: Algumas "mágicas" não funcionaram de
> >> maneira automática :) 2015-09-23 23:37
> >> GMT-03:00 André Andrade <andre em n4telecom.com.br <javascript:;>>:
> >> Percebi que essa queda no rendimento acontece depois que envio o IP
> >> atacado que foi dentro da minha rede para a Black-hole da Algar. Esse
> >> IP publicado na Black-hole não deveria ser repassado automaticamente
> >>
> >>>> para as blackhole da redes subsequentes??? Porque demora cerca de
> >>>> 20min
> >> para publicar isso? Em 23 de setembro de 2015 23:32, CTBC Telecom <
> >> algartelecom em gmail.com <javascript:;>>
> >>
> >>> escreveu: Se for interior de São Paulo, era ataque em direção a um
> >> cliente que
> >> já
> >>
> >>> foi mitigado. 2015-09-23 23:26 GMT-03:00 CTBC Telecom <
> >> algartelecom em gmail.com
> >> <javascript:;>>:
> >>
> >>> Qual região? 2015-09-23 23:14 GMT-03:00 André Andrade <
> >> andre em n4telecom.com.br
> >> <javascript:;>>:
> >>
> >>> Alguem mais com problema de queda de rendimento no link ALGAR???
> >>> Acabei
> >> de enviar para blackhole um ip que estava recebendo ataque e
> >>
> >>> logo depois a Algar caiu o rendimento para 30% do total. -- André
> >> Andrade www.n4telecom.com.br [1]
> >> _______________________________________________ caiu mailing list
> >> caiu em eng.registro.br <javascript:;>
> >> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA
> >> LISTA SIGA AS INSTRUÇÕES em:
> >> https://eng.registro.br/mailman/options/caiu [3]
> >> _______________________________________________ caiu mailing list
> >> caiu em eng.registro.br <javascript:;>
> >> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA
> >> LISTA SIGA AS INSTRUÇÕES em:
> >> https://eng.registro.br/mailman/options/caiu [3]
> >> -- André Andrade www.n4telecom.com.br [1]
> >> _______________________________________________ caiu mailing list
> >> caiu em eng.registro.br <javascript:;>
> >> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA
> >> LISTA SIGA AS INSTRUÇÕES em:
> >> https://eng.registro.br/mailman/options/caiu [3]
> >> _______________________________________________ caiu mailing list
> >> caiu em eng.registro.br <javascript:;>
> >> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA
> >> LISTA SIGA AS INSTRUÇÕES em:
> >> https://eng.registro.br/mailman/options/caiu [3]
> >> -- André Andrade www.n4telecom.com.br [1]
> >> _______________________________________________ caiu mailing list
> >> caiu em eng.registro.br <javascript:;>
> >> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA
> >> LISTA SIGA AS INSTRUÇÕES em:
> >> https://eng.registro.br/mailman/options/caiu [3]
> >> _______________________________________________ caiu mailing list
> >> caiu em eng.registro.br https://eng.registro.br/mailman/listinfo/caiu
> >> [2]
> >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >> https://eng.registro.br/mailman/options/caiu [3]
> >>
> >> _______________________________________________
> >> caiu mailing list
> >> caiu em eng.registro.br
> >> https://eng.registro.br/mailman/listinfo/caiu [2]
> >>
> >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>
> >> https://eng.registro.br/mailman/options/caiu [3]
> >>
> >>
> >>
> >> Links:
> >> ------
> >> [1] http://www.n4telecom.com.br
> >> [2] https://eng.registro.br/mailman/listinfo/caiu
> >> [3] https://eng.registro.br/mailman/options/caiu
> >> _______________________________________________
> >> caiu mailing list
> >> caiu em eng.registro.br
> >> https://eng.registro.br/mailman/listinfo/caiu
> >>
> >>
> >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>
> >> https://eng.registro.br/mailman/options/caiu
> >
> >
> >
> > --
> > André Andrade
> > www.n4telecom.com.br
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
Mais detalhes sobre a lista de discussão caiu