[caiu] RES: RES: RES: Operadoras Sobre Ataque
Caio
caiot5 em gmail.com
Sexta Setembro 25 15:50:09 BRT 2015
Boa tarde Diego,
Ele não age, apenas alarma, tem relatórios detalhados e histórico, você
consegue cruzar qualquer tipo de informação que esteja contida nos flows ou
snmp, bem legal.
2015-09-24 18:20 GMT-03:00 Diego Canton de Brito <diegocanton em ensite.com.br>
:
> Estou gerando os históricos com NfSen mesmo.
>
> Hoje foi o teste final e o FastNetMon notificou e enviou a rota para o BH
> rapidamente, mal deu tempo de identificar a origem e de aplicar o firewall
> e
> bloqueou.
>
> Interessante então o Trafip, como ele funciona? Alerta ou age sozinho para
> mitigar?
>
> Att,
>
>
> -----Mensagem original-----
> De: caiu [mailto:caiu-bounces em eng.registro.br] Em nome de Caio
> Enviada em: quinta-feira, 24 de setembro de 2015 16:16
> Para: Lista das indisponibilidades da Internet brasileira
> Assunto: Re: [caiu] RES: RES: Operadoras Sobre Ataque
>
> Apenas pra referência:
>
> Vi um colega de uma outra empresa usando o FastNetMon, é bacana, mas peca
> por não ter o histórico. Se tu não tiver na agulha vendo, corre o risco da
> blackhole ser feita, ou notificada e você não ter a noção do diâmetro do
> ataque.
>
> O TrafIP consegue mitigar quantidades absurdas de tráfego 10Gbps+ sem
> gargalar o hardware, é muito bacana mesmo, a análise é feita por flows e
> ele
> faz algumas coletas no snmp, assim como o outro amigo falou, um produto bem
> bacana.
>
> Num outro ambiente de testes tenho um PRTG mitigando, fica um pouco mais
> confuso, principalmente pra extrair um relatório mas até que quebra o
> galho.
>
> Ouvi falar do Polygraph também, mas pro espectro que preciso, ficaria num
> valor astronômico.
>
> Testamos o ManageEngine também, mas "não aguenta o tranco" quando tem
> muitos
> flows pra processar (talvez por ser escrito em java).
>
>
> 2015-09-24 11:54 GMT-03:00 Pablo Antônio Costa <
> pablo.costa em brainfarma.ind.br>:
>
> > Uso trafip para +- 20 links MPLS de +- 20Mb cada. Ótimo com netflow.
> > SLA View iremos implementar próximo mês parece muito bom. Recomendo o
> Trafip.
> >
> > -----Mensagem original-----
> > De: caiu [mailto:caiu-bounces em eng.registro.br] Em nome de André
> > Andrade Enviada em: quinta-feira, 24 de setembro de 2015 10:51
> > Para: Lista das indisponibilidades da Internet brasileira
> > Assunto: Re: [caiu] RES: Operadoras Sobre Ataque
> >
> > Com o trafip vc faz tudo isso é muito mais. Ele tb trabalha com coleta
> > de flow e usa snmp para localizar as interfaces. Eles tem o SLA VIEW q
> > esse sim é somente snmp igual cacti prtg e outros.
> >
> > Enviado do meu iPhone
> >
> > > Em 24/09/2015, às 10:45, Diego Canton de Brito <
> > diegocanton em ensite.com.br> escreveu:
> > >
> > > Não usei esse, mas parece que ele trabalha com SNMP, o NfSen e
> > > FastNetMon trabalham com Flows(Netflow), estou exportando IpFix dos
> > > roteadores Juniper e coletando eles no NfSen e FastNetMon, com esses
> > > dados de flows consigo montar no NfSen gráficos por protocolos, ASN,
> > CIDR, Portas e interfaces.
> > > Para identificar ataques e sua origem os flows são como um TORCH do
> > > RouterOS, desde que se tenha as ferramentas para tratamento.
> > >
> > > Para monitoramento de rede parece ser bom, mas Zabbix, PRTG e outros
> > > fazem o mesmo.
> > >
> > > Veja se há diferença:
> > > http://www.pop-go.rnp.br/docs/flows.pdf
> > > https://www.pop-ba.rnp.br/pub/WTR2011/MaterialPalestrasMinicursos/Mo
> > > nI
> > > PE-Sur
> > > uagy.pdf
> > > https://www.youtube.com/watch?v=oipMSiBWB08
> > >
> > >
> > > Att,
> > >
> > >
> > > -----Mensagem original-----
> > > De: caiu [mailto:caiu-bounces em eng.registro.br] Em nome de André
> > > Andrade Enviada em: quinta-feira, 24 de setembro de 2015 09:51
> > > Para: Lista das indisponibilidades da Internet brasileira
> > > Assunto: Re: [caiu] Operadoras Sobre Ataque
> > >
> > > Diego...o que você me fala do Trafip?
> > > Fiquei estou a pouco mais de 1mês testando a plataforma deles e
> > > achei bem interessante, não tenho experiencia com outros applice,
> > > mais esse eu recomendo.
> > >
> > > Abraço
> > >
> > > Em 24 de setembro de 2015 01:29, Diego Canton de Brito <
> > > diegocanton em ensite.com.br> escreveu:
> > >
> > >>
> > >>
> > >> Galera, atualmente implementamos o FastNetMon com ExaBGP, ainda não
> > >> houve um ataque que atinga o volume configurado, mas é uma ideia
> > >> que deixo para vocês, isso ajuda a reduzir o tempo de mitigação, se
> > >> não me engano ele identifica e age em alguns segundos. Antes
> > >> utilizavamos nfsen para processar os dados de Flows, mas era lento,
> > >> tentamos programar scripts para reduzir o tempo, mas no fim o
> > >> FastNetMon se mostrou muito eficiente nos testes.
> > >>
> > >> Quanto a BH via Algar, amigo CTBC, me corrija se errado, notei que
> > >> o discard para SRR, não tenho certeza, fica no roteador de SRR ou
> > >> RPO, ou seja não é propagado, logo um ataque maior que o transporte
> > >> gera redução de trafego. Os últimos ataques que recebemos sempre
> > >> ultrapassaram 2.5Gbps, geralmente UDP Flood, amplificações DNS e NTP.
> > >> Caso eu esteja certo, seria interessante se os IPs anunciados em BH
> > >> fossem replicados para outros roteadores até chegar nas Bordas de
> > >> transito da Algar para serem mitigados antes de comprometer a rede
> > >> como um
> > > todo.
> > >>
> > >> Bom fica a dica para vocês
> > >> https://github.com/FastVPSEestiOu/fastnetmon
> > >> e http://nfsen.sourceforge.net/ e
> > >> https://github.com/sleinen/samplicator
> > >>
> > >>
> > >> ---
> > >>
> > >> Att.
> > >>
> > >> -------------------------
> > >>
> > >> DIEGO CANTON DE BRITO
> > >> Suporte Técnico - Rede, link dedicado e servidores ENSITE TELECOM
> > >> suporte em ensite.com.br diegocanton em ensite.com.br
> > >> +55 18 3638 1001 - Suporte Técnico
> > >> +55 18 3638 1001 - Link Dedicado
> > >> +55 18 3638 1003 - Telefonia
> > >> 0800 772 9147
> > >>
> > >> Em 2015-09-24 01:08, André Andrade escreveu:
> > >>
> > >>> To contigo nessa Caio.
> > >>>
> > >>> Se cada um fizer sua parte e de maneira rápida, seria muito melhor
> > >>> para
> > >> todos nós.
> > >>>
> > >>> Abraço.
> > >>>
> > >>> Enviado do meu iPhone
> > >>> Em 24/09/2015, às 00:26, Caio <caiot5 em gmail.com> escreveu: Já
> > >>> passei
> > >> por situações idênticas (fazer blackhole e a propagacao demorar,
> > >> quase como se fosse manual) e realmente as "mágicas" não
> > >> funcionaram nunca kkk Atualmente estamos notando redução de
> > >> desempenho em diversos circuitos que passam em Rio Preto devido aos
> > >> ataques que vocês estão sofrendo desde o dia 20. Na minha opinião
> > >> falta proatividade dentro da Algar, alguém com o foco no negócio,
> > >> com interesse em resolver rápido o problema do cliente e responder
> > >> aos questionamentos com clareza e sem lenga lenga de "não foram
> > >> encontrados problemas". On Wednesday, September 23, 2015, André
> > >> Andrade < andre em n4telecom.com.br> wrote: De
> > > qualquer forma foi resolvido sim...
> > >> Desde de o dia 20 venho notando esse problema na rede Algar pós
> > blackhole.
> > >> Em 23 de setembro de 2015 23:39, CTBC Telecom
> > >> <algartelecom em gmail.com <javascript:;>> escreveu: Algumas "mágicas"
> > >> não funcionaram de maneira automática :) 2015-09-23 23:37
> > >> GMT-03:00 André Andrade <andre em n4telecom.com.br <javascript:;>>:
> > >> Percebi que essa queda no rendimento acontece depois que envio o IP
> > >> atacado que foi dentro da minha rede para a Black-hole da Algar.
> > >> Esse IP publicado na Black-hole não deveria ser repassado
> > >> automaticamente
> > >>
> > >>>> para as blackhole da redes subsequentes??? Porque demora cerca de
> > >>>> 20min
> > >> para publicar isso? Em 23 de setembro de 2015 23:32, CTBC Telecom <
> > >> algartelecom em gmail.com <javascript:;>>
> > >>
> > >>> escreveu: Se for interior de São Paulo, era ataque em direção a um
> > >> cliente que
> > >> já
> > >>
> > >>> foi mitigado. 2015-09-23 23:26 GMT-03:00 CTBC Telecom <
> > >> algartelecom em gmail.com
> > >> <javascript:;>>:
> > >>
> > >>> Qual região? 2015-09-23 23:14 GMT-03:00 André Andrade <
> > >> andre em n4telecom.com.br
> > >> <javascript:;>>:
> > >>
> > >>> Alguem mais com problema de queda de rendimento no link ALGAR???
> > >>> Acabei
> > >> de enviar para blackhole um ip que estava recebendo ataque e
> > >>
> > >>> logo depois a Algar caiu o rendimento para 30% do total. -- André
> > >> Andrade www.n4telecom.com.br [1]
> > >> _______________________________________________ caiu mailing list
> > >> caiu em eng.registro.br <javascript:;>
> > >> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA
> > >> LISTA SIGA AS INSTRUÇÕES em:
> > >> https://eng.registro.br/mailman/options/caiu [3]
> > >> _______________________________________________ caiu mailing list
> > >> caiu em eng.registro.br <javascript:;>
> > >> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA
> > >> LISTA SIGA AS INSTRUÇÕES em:
> > >> https://eng.registro.br/mailman/options/caiu [3]
> > >> -- André Andrade www.n4telecom.com.br [1]
> > >> _______________________________________________ caiu mailing list
> > >> caiu em eng.registro.br <javascript:;>
> > >> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA
> > >> LISTA SIGA AS INSTRUÇÕES em:
> > >> https://eng.registro.br/mailman/options/caiu [3]
> > >> _______________________________________________ caiu mailing list
> > >> caiu em eng.registro.br <javascript:;>
> > >> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA
> > >> LISTA SIGA AS INSTRUÇÕES em:
> > >> https://eng.registro.br/mailman/options/caiu [3]
> > >> -- André Andrade www.n4telecom.com.br [1]
> > >> _______________________________________________ caiu mailing list
> > >> caiu em eng.registro.br <javascript:;>
> > >> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA
> > >> LISTA SIGA AS INSTRUÇÕES em:
> > >> https://eng.registro.br/mailman/options/caiu [3]
> > >> _______________________________________________ caiu mailing list
> > >> caiu em eng.registro.br https://eng.registro.br/mailman/listinfo/caiu
> > >> [2]
> > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >> https://eng.registro.br/mailman/options/caiu [3]
> > >>
> > >> _______________________________________________
> > >> caiu mailing list
> > >> caiu em eng.registro.br
> > >> https://eng.registro.br/mailman/listinfo/caiu [2]
> > >>
> > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >>
> > >> https://eng.registro.br/mailman/options/caiu [3]
> > >>
> > >>
> > >>
> > >> Links:
> > >> ------
> > >> [1] http://www.n4telecom.com.br
> > >> [2] https://eng.registro.br/mailman/listinfo/caiu
> > >> [3] https://eng.registro.br/mailman/options/caiu
> > >> _______________________________________________
> > >> caiu mailing list
> > >> caiu em eng.registro.br
> > >> https://eng.registro.br/mailman/listinfo/caiu
> > >>
> > >>
> > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >>
> > >> https://eng.registro.br/mailman/options/caiu
> > >
> > >
> > >
> > > --
> > > André Andrade
> > > www.n4telecom.com.br
> > > _______________________________________________
> > > caiu mailing list
> > > caiu em eng.registro.br
> > > https://eng.registro.br/mailman/listinfo/caiu
> > >
> > >
> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >
> > > https://eng.registro.br/mailman/options/caiu
> > >
> > > _______________________________________________
> > > caiu mailing list
> > > caiu em eng.registro.br
> > > https://eng.registro.br/mailman/listinfo/caiu
> > >
> > >
> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >
> > > https://eng.registro.br/mailman/options/caiu
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
Mais detalhes sobre a lista de discussão caiu