[GTER] Analise de trafego por ASN sem BGP

Eduardo Ascenco Reis eduardo at intron.com.br
Fri Feb 17 18:03:15 -02 2006


Rubens e Camaradas,

On Fri, 10 Feb 2006 15:48:07 -0200, "Rubens Kuhl Jr." <rubensk at gmail.com> escreveu:

> acabei chegando em uma solução um pouco diferente da dele e que torno
> aqui pública (a próxima reunião do GTER ainda está meio longe...).

No início da apresentação eu disse que há várias formas de realizar análise de tráfego externo (entre ASs / Prefixos) para entidades que não possuam BGP Full Routing (ou mesmo que nem possuam BGP), e que o sistema que desenvolvi (SATEparc) é apenas uma delas.

Na verdade imagino que seja possível preencher alguns dias de um evento exclusivamente sobre o assunto :).

> O primeiro insumo para essa alternativa é algo que apesar de não ter
> encontrado citação em nenhum lugar funciona bem: já há um zone-file
> DNS gerado automaticamente pelo projeto Route-Views para consulta de
> ASN origem de um IP usando nslookup.

Esse serviço está descrito na página principal do projeto [1] e foi anunciado na nanog em 2003 pelo seu mentor [2],
e os arquivos estavam disponíveis no diretório de FTP do projeto [3].

Pessoalmente considero excelente o mecanismo de mapeamento de AS/ASPATH em uma zona de DNS, pois permite realizar consultas de IP=>Prefixo/ASN/AS-PATH de forma simples e eficiente.

Por exemplo:

$ host -t txt 1.120.160.200.asn.routeviews.org
1.120.160.200.asn.routeviews.org text "27664" "200.160.112.0" "20"
$ 

Grande idéia do projeto Route Views:), incorporada no SATEparc desde o início do trabalho.

> O zone-file fica em
> (http://archive.routeviews.org/dnszones/originas.zone.bz2) (há também

No momento eu não recomendo a utilização dos arquivos de zona do projeto Route Views, pois eles não estão sendo
criados considerando apenas a melhor rota para cada destino (longest match) no caso de prefixos com sobreposição,
o que gera uma resposta diferente de uma consulta direta no roteador.

Veja um exemplo:

$ date; host -t txt 15.184.198.200.asn.routeviews.org
Fri Feb 17 17:53:50 BRST 2006
15.184.198.200.asn.routeviews.org text "16397" "200.198.184.0" "23"
15.184.198.200.asn.routeviews.org text "16397" "200.198.176.0" "20"
$ 

Por isso foi incluido no SATEparc um script [4] para criação da zona de DNS a partir da tabela BGP completa IPv4 (oix-full-snapshot-latest) do projeto Route Views, que além de resolver o problema acima ainda possui um campo de identificação BR # NOBR para cada registro (prefixo).

Veja o exemplo de consulta para o mesmo IP:

$ host -t txt 15.184.198.200.rviews-local
15.184.198.200.rviews-local text "16397" "200.198.184.0" "23" "BR"
$

Eu interagi com a equipe do projeto Route Views no mês de maio de 2005 para reportar o problema com as zonas de DNS,
e enviei para eles o script utilizado pelo SATEparc para criação da zona.

> O porém do formato zone-file é gerar um arquivo grande que é ruim para
> manipulação direta;

Independente do problema acima, sugiro que o arquivo originas.txt seja gerado diretamente do dump da tabela de roteamento BGP, pois assim a informação será pega direto da fonte.

Algo similar é feito no SATEparc com o script [5].

> eu observei que teria menos trabalho se
> conseguisse marcar os ASNs nos flow originais, usando assim as
> ferramentas de relatório já integrante do flow-tools.

A idéia parece interessante, pois as ferramentas do flow-tools são poderosas.

> $ flow-cat ft-v05.2001-05-01.* | flow-export -f 2 | grep -v \# |
> ./flow-asn.pl | flow-import -V5 -z0 -f2 | flow-report -v
> TYPE=source-as -v SORT=+octets -v OPTIONS=+percent-total,+names

Qual é a definição de máscara usada no arquivo /etc/flow-tools/cfg/stat.cfg para a análise ?

flow-report: ftstat_load(): failed


Estou implantando o SATEparc em um servidor Sun e em paralelo atualizando a sua documentação, um mini HOWTO que 
pretendo divulgar futuramente.


Abraços,

Eduardo Ascenço Reis

Referências

[1] http://www.route-views.org/
[2] http://www.merit.edu/mail.archives/nanog/2003-09/msg00832.html
[3] ftp://archive.routeviews.org/
[4] http://www.intron.com.br/sate/scripts/rviews.origin-asn-br.dns-zone.pl
[5] http://www.intron.com.br/sate/scripts/bgp-dump-cisco.ana-br-v7.pl




More information about the gter mailing list