[GTER] Analise de trafego por ASN sem BGP

Rubens Kuhl Jr. rubensk at gmail.com
Fri Feb 17 18:54:55 -02 2006 

> No início da apresentação eu disse que há várias formas de realizar análise de tráfego externo (entre ASs / Prefixos) para entidades que não possuam BGP Full Routing (ou mesmo que nem possuam BGP), e que o sistema que desenvolvi (SATEparc) é apenas uma delas.
>
> Na verdade imagino que seja possível preencher alguns dias de um evento exclusivamente sobre o assunto :).

Falta apenas os tímidos proporem apresentações ao comitê de programa.
Em nome do comitê eu digo que apresentações nesse sentido serão muito
benvindas.

> > O zone-file fica em
> > (http://archive.routeviews.org/dnszones/originas.zone.bz2) (há também
>
> No momento eu não recomendo a utilização dos arquivos de zona do projeto Route Views, pois eles não estão sendo
> criados considerando apenas a melhor rota para cada destino (longest match) no caso de prefixos com sobreposição,
> o que gera uma resposta diferente de uma consulta direta no roteador.
>
> Veja um exemplo:
>
> $ date; host -t txt 15.184.198.200.asn.routeviews.org
> Fri Feb 17 17:53:50 BRST 2006
> 15.184.198.200.asn.routeviews.org text "16397" "200.198.184.0" "23"
> 15.184.198.200.asn.routeviews.org text "16397" "200.198.176.0" "20"

Foi só coincidência que a primeira resposta foi o prefixo mais
específico ? Pq se a organização do arquivo for feita com prefixos que
sobreponham ordenados do mais específico para o menos específico, e só
desligar rotação de respostas no DNS e usar sempre a primeira.

> Por isso foi incluido no SATEparc um script [4] para criação da zona de DNS a partir da tabela BGP completa IPv4 (oix-full-snapshot-latest) do projeto Route Views, que além de resolver o problema acima ainda possui um campo de identificação BR # NOBR para cada registro (prefixo).

A questão de BR # NOBR está no "to do"... nesse sentido, qual a
diferença prática entre fazer a distinção de país por prefixo e fazer
por ASN ? Ou seja, há prefixos com geração de tráfego relevante que
sejam BR quando o ASN é NOBR ?

> > O porém do formato zone-file é gerar um arquivo grande que é ruim para
> > manipulação direta;
>
> Independente do problema acima, sugiro que o arquivo originas.txt seja gerado diretamente do dump da tabela de roteamento BGP, pois assim a informação será pega direto da fonte.

O problema de longest-prefix foi resolvido no script pelo uso da
Patricia trie, então mesmo com prefixos sobrepostos ele vai resolver
para o ASN correto. Vale reparar que os anúncios com AS inconsistentes
(um mesmo IP pertecendo a prefixos com AS origens diferentes) são
poucos segundo o CIDR Report, então num caso de análise de tráfego com
ASNs reais isso não seria tão relevante, a meu ver. Mas era importante
para mim a possibilidade de referir pedaços de blocos de CIDR como se
fossem de outra entidade para ver que demanda de tráfego surgiria com
a transformação em um sistema autônomo, então longest-prefix era uma
questão sine-qua-non.

> Algo similar é feito no SATEparc com o script [5].
>
> > eu observei que teria menos trabalho se
> > conseguisse marcar os ASNs nos flow originais, usando assim as
> > ferramentas de relatório já integrante do flow-tools.
>
> A idéia parece interessante, pois as ferramentas do flow-tools são poderosas.

Sim, são. E como o flow-tools praticamente se tornou um padrão, mesmo
outras ferramentas (como o nfdump) tem conversores de/para
flow-tools... e o flow-tools tem conversores para o cflowd, antigo
programa mais usado, e outros reconhecem cflowd, então enquanto couber
"|" na linha de comando dá para fazer muita coisa.
Mas o que eu queria o flow-tools acabou me dando, mesmo.

>
> > $ flow-cat ft-v05.2001-05-01.* | flow-export -f 2 | grep -v \# |
> > ./flow-asn.pl | flow-import -V5 -z0 -f2 | flow-report -v
> > TYPE=source-as -v SORT=+octets -v OPTIONS=+percent-total,+names
>
> Qual é a definição de máscara usada no arquivo /etc/flow-tools/cfg/stat.cfg para a análise ?

$ cat /usr/local/netflow/var/cfg/stat.cfg
stat-report default
  type @{TYPE:-summary-detail}
  output
    format ascii
    sort @{SORT:-+}
    fields @{FIELDS:-+}
    options @{OPTIONS:-+header,+xheader,+totals}
    path |flow-rptfmt @{RPTOPT:--f ascii}

stat-definition default
  report default

> flow-report: ftstat_load(): failed

Para registro, flow-tools 0.68. De todo modo, com os flows com ASN
marcados, a obtenção de relatórios recai no uso típico do flow-tools.

> Estou implantando o SATEparc em um servidor Sun e em paralelo atualizando a sua documentação, um mini HOWTO que
> pretendo divulgar futuramente.

Legal!

[]s,
Rubens

More information about the gter mailing list