[caiu] RES: RES: RES: Operadoras Sobre Ataque
Marcelo M. Pinheiro GMail
marcelo.nipcable em gmail.com
Sábado Setembro 26 17:58:39 BRT 2015
Nos usamos e tb recomendamos!
Marcelo Marques Pinheiro
NipBr - NipCable do Brasil LTDA.
(12)2138-8000.
> Em 25 de set de 2015, às 15:50, Caio <caiot5 at gmail.com> escreveu:
>
> Boa tarde Diego,
>
> Ele não age, apenas alarma, tem relatórios detalhados e histórico, você
> consegue cruzar qualquer tipo de informação que esteja contida nos flows ou
> snmp, bem legal.
>
> 2015-09-24 18:20 GMT-03:00 Diego Canton de Brito <diegocanton at ensite.com.br>
> :
>
>> Estou gerando os históricos com NfSen mesmo.
>>
>> Hoje foi o teste final e o FastNetMon notificou e enviou a rota para o BH
>> rapidamente, mal deu tempo de identificar a origem e de aplicar o firewall
>> e
>> bloqueou.
>>
>> Interessante então o Trafip, como ele funciona? Alerta ou age sozinho para
>> mitigar?
>>
>> Att,
>>
>>
>> -----Mensagem original-----
>> De: caiu [mailto:caiu-bounces at eng.registro.br] Em nome de Caio
>> Enviada em: quinta-feira, 24 de setembro de 2015 16:16
>> Para: Lista das indisponibilidades da Internet brasileira
>> Assunto: Re: [caiu] RES: RES: Operadoras Sobre Ataque
>>
>> Apenas pra referência:
>>
>> Vi um colega de uma outra empresa usando o FastNetMon, é bacana, mas peca
>> por não ter o histórico. Se tu não tiver na agulha vendo, corre o risco da
>> blackhole ser feita, ou notificada e você não ter a noção do diâmetro do
>> ataque.
>>
>> O TrafIP consegue mitigar quantidades absurdas de tráfego 10Gbps+ sem
>> gargalar o hardware, é muito bacana mesmo, a análise é feita por flows e
>> ele
>> faz algumas coletas no snmp, assim como o outro amigo falou, um produto bem
>> bacana.
>>
>> Num outro ambiente de testes tenho um PRTG mitigando, fica um pouco mais
>> confuso, principalmente pra extrair um relatório mas até que quebra o
>> galho.
>>
>> Ouvi falar do Polygraph também, mas pro espectro que preciso, ficaria num
>> valor astronômico.
>>
>> Testamos o ManageEngine também, mas "não aguenta o tranco" quando tem
>> muitos
>> flows pra processar (talvez por ser escrito em java).
>>
>>
>> 2015-09-24 11:54 GMT-03:00 Pablo Antônio Costa <
>> pablo.costa at brainfarma.ind.br>:
>>
>>> Uso trafip para +- 20 links MPLS de +- 20Mb cada. Ótimo com netflow.
>>> SLA View iremos implementar próximo mês parece muito bom. Recomendo o
>> Trafip.
>>>
>>> -----Mensagem original-----
>>> De: caiu [mailto:caiu-bounces at eng.registro.br] Em nome de André
>>> Andrade Enviada em: quinta-feira, 24 de setembro de 2015 10:51
>>> Para: Lista das indisponibilidades da Internet brasileira
>>> Assunto: Re: [caiu] RES: Operadoras Sobre Ataque
>>>
>>> Com o trafip vc faz tudo isso é muito mais. Ele tb trabalha com coleta
>>> de flow e usa snmp para localizar as interfaces. Eles tem o SLA VIEW q
>>> esse sim é somente snmp igual cacti prtg e outros.
>>>
>>> Enviado do meu iPhone
>>>
>>>>> Em 24/09/2015, às 10:45, Diego Canton de Brito <
>>>> diegocanton at ensite.com.br> escreveu:
>>>>
>>>> Não usei esse, mas parece que ele trabalha com SNMP, o NfSen e
>>>> FastNetMon trabalham com Flows(Netflow), estou exportando IpFix dos
>>>> roteadores Juniper e coletando eles no NfSen e FastNetMon, com esses
>>>> dados de flows consigo montar no NfSen gráficos por protocolos, ASN,
>>> CIDR, Portas e interfaces.
>>>> Para identificar ataques e sua origem os flows são como um TORCH do
>>>> RouterOS, desde que se tenha as ferramentas para tratamento.
>>>>
>>>> Para monitoramento de rede parece ser bom, mas Zabbix, PRTG e outros
>>>> fazem o mesmo.
>>>>
>>>> Veja se há diferença:
>>>> http://www.pop-go.rnp.br/docs/flows.pdf
>>>> https://www.pop-ba.rnp.br/pub/WTR2011/MaterialPalestrasMinicursos/Mo
>>>> nI
>>>> PE-Sur
>>>> uagy.pdf
>>>> https://www.youtube.com/watch?v=oipMSiBWB08
>>>>
>>>>
>>>> Att,
>>>>
>>>>
>>>> -----Mensagem original-----
>>>> De: caiu [mailto:caiu-bounces at eng.registro.br] Em nome de André
>>>> Andrade Enviada em: quinta-feira, 24 de setembro de 2015 09:51
>>>> Para: Lista das indisponibilidades da Internet brasileira
>>>> Assunto: Re: [caiu] Operadoras Sobre Ataque
>>>>
>>>> Diego...o que você me fala do Trafip?
>>>> Fiquei estou a pouco mais de 1mês testando a plataforma deles e
>>>> achei bem interessante, não tenho experiencia com outros applice,
>>>> mais esse eu recomendo.
>>>>
>>>> Abraço
>>>>
>>>> Em 24 de setembro de 2015 01:29, Diego Canton de Brito <
>>>> diegocanton at ensite.com.br> escreveu:
>>>>
>>>>>
>>>>>
>>>>> Galera, atualmente implementamos o FastNetMon com ExaBGP, ainda não
>>>>> houve um ataque que atinga o volume configurado, mas é uma ideia
>>>>> que deixo para vocês, isso ajuda a reduzir o tempo de mitigação, se
>>>>> não me engano ele identifica e age em alguns segundos. Antes
>>>>> utilizavamos nfsen para processar os dados de Flows, mas era lento,
>>>>> tentamos programar scripts para reduzir o tempo, mas no fim o
>>>>> FastNetMon se mostrou muito eficiente nos testes.
>>>>>
>>>>> Quanto a BH via Algar, amigo CTBC, me corrija se errado, notei que
>>>>> o discard para SRR, não tenho certeza, fica no roteador de SRR ou
>>>>> RPO, ou seja não é propagado, logo um ataque maior que o transporte
>>>>> gera redução de trafego. Os últimos ataques que recebemos sempre
>>>>> ultrapassaram 2.5Gbps, geralmente UDP Flood, amplificações DNS e NTP.
>>>>> Caso eu esteja certo, seria interessante se os IPs anunciados em BH
>>>>> fossem replicados para outros roteadores até chegar nas Bordas de
>>>>> transito da Algar para serem mitigados antes de comprometer a rede
>>>>> como um
>>>> todo.
>>>>>
>>>>> Bom fica a dica para vocês
>>>>> https://github.com/FastVPSEestiOu/fastnetmon
>>>>> e http://nfsen.sourceforge.net/ e
>>>>> https://github.com/sleinen/samplicator
>>>>>
>>>>>
>>>>> ---
>>>>>
>>>>> Att.
>>>>>
>>>>> -------------------------
>>>>>
>>>>> DIEGO CANTON DE BRITO
>>>>> Suporte Técnico - Rede, link dedicado e servidores ENSITE TELECOM
>>>>> suporte at ensite.com.br diegocanton at ensite.com.br
>>>>> +55 18 3638 1001 - Suporte Técnico
>>>>> +55 18 3638 1001 - Link Dedicado
>>>>> +55 18 3638 1003 - Telefonia
>>>>> 0800 772 9147
>>>>>
>>>>> Em 2015-09-24 01:08, André Andrade escreveu:
>>>>>
>>>>>> To contigo nessa Caio.
>>>>>>
>>>>>> Se cada um fizer sua parte e de maneira rápida, seria muito melhor
>>>>>> para
>>>>> todos nós.
>>>>>>
>>>>>> Abraço.
>>>>>>
>>>>>> Enviado do meu iPhone
>>>>>> Em 24/09/2015, às 00:26, Caio <caiot5 at gmail.com> escreveu: Já
>>>>>> passei
>>>>> por situações idênticas (fazer blackhole e a propagacao demorar,
>>>>> quase como se fosse manual) e realmente as "mágicas" não
>>>>> funcionaram nunca kkk Atualmente estamos notando redução de
>>>>> desempenho em diversos circuitos que passam em Rio Preto devido aos
>>>>> ataques que vocês estão sofrendo desde o dia 20. Na minha opinião
>>>>> falta proatividade dentro da Algar, alguém com o foco no negócio,
>>>>> com interesse em resolver rápido o problema do cliente e responder
>>>>> aos questionamentos com clareza e sem lenga lenga de "não foram
>>>>> encontrados problemas". On Wednesday, September 23, 2015, André
>>>>> Andrade < andre at n4telecom.com.br> wrote: De
>>>> qualquer forma foi resolvido sim...
>>>>> Desde de o dia 20 venho notando esse problema na rede Algar pós
>>> blackhole.
>>>>> Em 23 de setembro de 2015 23:39, CTBC Telecom
>>>>> <algartelecom at gmail.com <javascript:;>> escreveu: Algumas "mágicas"
>>>>> não funcionaram de maneira automática :) 2015-09-23 23:37
>>>>> GMT-03:00 André Andrade <andre at n4telecom.com.br <javascript:;>>:
>>>>> Percebi que essa queda no rendimento acontece depois que envio o IP
>>>>> atacado que foi dentro da minha rede para a Black-hole da Algar.
>>>>> Esse IP publicado na Black-hole não deveria ser repassado
>>>>> automaticamente
>>>>>
>>>>>>> para as blackhole da redes subsequentes??? Porque demora cerca de
>>>>>>> 20min
>>>>> para publicar isso? Em 23 de setembro de 2015 23:32, CTBC Telecom <
>>>>> algartelecom at gmail.com <javascript:;>>
>>>>>
>>>>>> escreveu: Se for interior de São Paulo, era ataque em direção a um
>>>>> cliente que
>>>>> já
>>>>>
>>>>>> foi mitigado. 2015-09-23 23:26 GMT-03:00 CTBC Telecom <
>>>>> algartelecom at gmail.com
>>>>> <javascript:;>>:
>>>>>
>>>>>> Qual região? 2015-09-23 23:14 GMT-03:00 André Andrade <
>>>>> andre at n4telecom.com.br
>>>>> <javascript:;>>:
>>>>>
>>>>>> Alguem mais com problema de queda de rendimento no link ALGAR???
>>>>>> Acabei
>>>>> de enviar para blackhole um ip que estava recebendo ataque e
>>>>>
>>>>>> logo depois a Algar caiu o rendimento para 30% do total. -- André
>>>>> Andrade www.n4telecom.com.br [1]
>>>>> _______________________________________________ caiu mailing list
>>>>> caiu at eng.registro.br <javascript:;>
>>>>> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA
>>>>> LISTA SIGA AS INSTRUÇÕES em:
>>>>> https://eng.registro.br/mailman/options/caiu [3]
>>>>> _______________________________________________ caiu mailing list
>>>>> caiu at eng.registro.br <javascript:;>
>>>>> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA
>>>>> LISTA SIGA AS INSTRUÇÕES em:
>>>>> https://eng.registro.br/mailman/options/caiu [3]
>>>>> -- André Andrade www.n4telecom.com.br [1]
>>>>> _______________________________________________ caiu mailing list
>>>>> caiu at eng.registro.br <javascript:;>
>>>>> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA
>>>>> LISTA SIGA AS INSTRUÇÕES em:
>>>>> https://eng.registro.br/mailman/options/caiu [3]
>>>>> _______________________________________________ caiu mailing list
>>>>> caiu at eng.registro.br <javascript:;>
>>>>> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA
>>>>> LISTA SIGA AS INSTRUÇÕES em:
>>>>> https://eng.registro.br/mailman/options/caiu [3]
>>>>> -- André Andrade www.n4telecom.com.br [1]
>>>>> _______________________________________________ caiu mailing list
>>>>> caiu at eng.registro.br <javascript:;>
>>>>> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA
>>>>> LISTA SIGA AS INSTRUÇÕES em:
>>>>> https://eng.registro.br/mailman/options/caiu [3]
>>>>> _______________________________________________ caiu mailing list
>>>>> caiu at eng.registro.br https://eng.registro.br/mailman/listinfo/caiu
>>>>> [2]
>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>> https://eng.registro.br/mailman/options/caiu [3]
>>>>>
>>>>> _______________________________________________
>>>>> caiu mailing list
>>>>> caiu at eng.registro.br
>>>>> https://eng.registro.br/mailman/listinfo/caiu [2]
>>>>>
>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>
>>>>> https://eng.registro.br/mailman/options/caiu [3]
>>>>>
>>>>>
>>>>>
>>>>> Links:
>>>>> ------
>>>>> [1] http://www.n4telecom.com.br
>>>>> [2] https://eng.registro.br/mailman/listinfo/caiu
>>>>> [3] https://eng.registro.br/mailman/options/caiu
>>>>> _______________________________________________
>>>>> caiu mailing list
>>>>> caiu at eng.registro.br
>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>
>>>>>
>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>
>>>>> https://eng.registro.br/mailman/options/caiu
>>>>
>>>>
>>>>
>>>> --
>>>> André Andrade
>>>> www.n4telecom.com.br
>>>> _______________________________________________
>>>> caiu mailing list
>>>> caiu at eng.registro.br
>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>
>>>>
>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>
>>>> https://eng.registro.br/mailman/options/caiu
>>>>
>>>> _______________________________________________
>>>> caiu mailing list
>>>> caiu at eng.registro.br
>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>
>>>>
>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>
>>>> https://eng.registro.br/mailman/options/caiu
>>> _______________________________________________
>>> caiu mailing list
>>> caiu at eng.registro.br
>>> https://eng.registro.br/mailman/listinfo/caiu
>>>
>>>
>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>
>>> https://eng.registro.br/mailman/options/caiu
>>> _______________________________________________
>>> caiu mailing list
>>> caiu at eng.registro.br
>>> https://eng.registro.br/mailman/listinfo/caiu
>>>
>>>
>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>
>>> https://eng.registro.br/mailman/options/caiu
>> _______________________________________________
>> caiu mailing list
>> caiu at eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>>
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>> https://eng.registro.br/mailman/options/caiu
>>
>> _______________________________________________
>> caiu mailing list
>> caiu at eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>>
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>> https://eng.registro.br/mailman/options/caiu
> _______________________________________________
> caiu mailing list
> caiu at eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
Mais detalhes sobre a lista de discussão caiu