[GTER] Como saber Flow por segundo

Gustavo Santos gustkiller at gmail.com
Sat Jul 21 14:25:34 -03 2012


Valeu,

O netflow 5 tem este campo. Como o jtac aceitou o chamado, vamos ver o que
dizem. Alguns coletores implementam a opção de setar o sampling rate
manualmente em caso da ausência desta informação em flows netflow v5.

O fabricante do coletor que utilizamos, jogou a culpa no router. Enfim
vamos ver o que vai dar.

Obrigado!

Enviado via galaxy note.
Em 21/07/2012 14:20, "Diogo Montagner" <diogo.montagner at gmail.com> escreveu:

> Gustavo,
>
> eu nao sou um expert em flows, mas eu dei uma olhada na RFC5101 e
> RFC5102 e cheguei a conclusao que o seu problema pode nao estar no
> equipamento que exporta e sim no servidor que recebe as informacoes
> dos flows coletados. Eu nao encontrei nenhum campo nos pacotes de
> ipfix que especifique o sampling rate no qual os pacotes estao sendo
> coletados.
>
> Da minha leitura da RFC, eu entendi que cada equipamento coletor pode
> ser identificado com um ID unico, e com isso, eu concluo que voce deve
> configurar o sampling rate para cada collector ID aonde voce estah
> analisando os flows. Mesmo assim, a informacao nao serah precisa (em
> termos de bytes).
>
> []s
>
> ./diogo -montagner
> JNCIE-SP 0x660
>
>
> 2012/7/21 Gustavo Santos <gustkiller at gmail.com>:
> > Diego,
> >
> > Aproveitando seu juncie, já viu este problema dos pacotes ipfix serem
> > exportados sem a informação do sampling rate?
> >
> > Enviado via galaxy note.
> > Em 21/07/2012 08:07, "Diogo Montagner" <diogo.montagner at gmail.com>
> escreveu:
> >
> >> Pode nao ser muito acurado, mas segue um jeito de ter uma ideia:
> >>
> >> Primeiro execute: set cli timestamp, depois execute a sequencia de
> >> comandos abaixo por 3 vezes. Para isso voce terah que ativar o
> >> sampling no roteador. Se a exportacao de flows eh baseada em hardware
> >> dedicado, mais agressivo voce pode ser.
> >>
> >>
> >> diogo> show services accounting flow | match "Flows exported|Jul 21"
> >> Jul 21 11:19:09
> >>     Flows exported: 30416439604, Flows packets exported: 1269517605
> >>
> >>
> >> diogo> show services accounting flow | match "Flows exported|Jul 21"
> >> Jul 21 11:19:14
> >>     Flows exported: 30416456949, Flows packets exported: 1269518332
> >>
> >>
> >> diogo> show services accounting flow | match "Flows exported|Jul 21"
> >> Jul 21 11:19:17
> >>     Flows exported: 30416467624, Flows packets exported: 1269518779
> >>
> >>                         Flows exported  Flow packets exported
> >>                 11:19:09        30416439604     1269517605
> >>                 11:19:14        30416456949     1269518332
> >>                 11:19:17        30416467624     1269518779
> >>
> >>         Total   0:00:08 28020   1174
> >>
> >>
> >> Flows exportado por segundo: 28020 / 8 => ~ 3503 Flows/segundo
> >> Pacotes de flows exportado por segundo: 1174 / 8 => ~ 147
> >> PacotesDeFlow/segundo
> >>
> >>
> >> ./diogo -montagner
> >> JNCIE-SP 0x660
> >>
> >>
> >> 2012/7/21 Gustavo Santos <gustkiller at gmail.com>:
> >> > Existe alguns detalhes.
> >> >
> >> > 1-Você vai exportar via netflow 5  que é exportado utilizando a CPU da
> >> > Routing Engine ou via IPFIX ( via hardware) ?
> >> > 2- Pelas minhas pesquisas , não existe um comando específico para
> >> verificar
> >> > as taxas em FPS ( flows por segundo), existe apenas um comando para
> saber
> >> > se os Flows estão sendo exportados e o Status, como segue abaixo:
> >> > gustavo at BRD01> show services accounting flow inline-jflow
> >> >   Flow information
> >> >     TFEB Slot: 0
> >> >     Flow Packets: 2486831505, Flow Bytes: 1427892057669
> >> >     Active Flows: 890, Total Flows: 223321228
> >> >     Flows Exported: 201958106, Flow Packets Exported: 37796575
> >> >     Flows Inactive Timed Out: 178594835, Flows Active Timed Out:
> 44725503
> >> >
> >> > 3- A depender do sampling-rate, esta taxa pode variar muito, você
> >> pretende
> >> > utilizar 1:1 ou uma taxa de sampling maior?
> >> >
> >> > 4- Você pode limitar a quantidade de pacotes por segundo que o
> roteador
> >> > pode enviar para o coletor de flows ( medida de segurança).
> >> >
> >> > 5- Instale alguma ferramenta gratuita que possa informar esta
> estatística
> >> > como o flowtools ou netflow scrutinizer.
> >> >
> >> > PS: Estou com um caso no JTAC aberto em relação a Export de flows
> >> > utilizando o protocolo IPFIX, que quando se utiliza sampling
> diferente de
> >> > 1:1, a taxa de amostragem se perde e os coletores não entendem que os
> >> flows
> >> > estão sendo enviados por amostragem, com isto, o que deveria ser
> >> 100Mbits/s
> >> > de tráfego em uma interface, aparece como 10kbps...
> >> >
> >> > Gustavo Santos
> >> > Analista de Redes
> >> > CCNA , MTCNA , MTCRE, MTCINE, JUNCIA-ER
> >> >
> >> >
> >> >
> >> > Em 20 de julho de 2012 14:16, Henrique de Moraes Holschuh <
> >> > henrique.holschuh at ima.sp.gov.br> escreveu:
> >> >
> >> >> On 20-07-2012 13:37, Joel Cappellesso wrote:
> >> >>
> >> >>> Nós estamos orçando um equipamento para monitorar a rede que suporta
> >> >>> 50 mil flows por segundo vindos de até 2 roteadores. Alguém tem
> >> >>> alguma dica de como eu posso descobrir o número de flows que o
> >> >>> Juniper (MX80) está trafegando?
> >> >>>
> >> >>
> >> >> Descobre os dois limites do equipamento de monitoramento de rede:
> >> >>   * Máximo número de fluxos simultâneos
> >> >>   * Máxima taxa de novos fluxos por segundo
> >> >>
> >> >> Tem equipamento que só processa o evento de criação do fluxo
> >> >> pontualmente, e portanto não tem limite para o número de fluxos
> >> >> simultâneos.  Mas é bom ter isso por escrito ;-)
> >> >>
> >> >> Vou deixar algum especialista em Juniper responder a pergunta de como
> >> >> perguntar o número de fluxos pro roteador.  Em último caso, ativa
> >> >> netflow no Juniper e aponta para algum coletor que gere estas
> >> estatísticas.
> >> >>
> >> >> E lembre-se que em um ataque distribuído, o número de fluxos UDP e
> ICMP
> >> >> (e TCP, no caso de syn-flood ou DoS de aplicação) e a taxa de
> criação de
> >> >> fluxos por segundo normalmente vai para a estratosfera.
> >> >>
> >> >> --
> >> >> Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
> >> >> IM@ - Informática de Municípios Associados
> >> >> Engenharia de Telecomunicações
> >> >> TEL +55-19-3755-6555/CEL +55-19-9293-9464
> >> >>
> >> >> Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
> >> >> e do custo que você pode evitar.
> >> >>
> >> >> --
> >> >> gter list    https://eng.registro.br/**mailman/listinfo/gter<
> >> https://eng.registro.br/mailman/listinfo/gter>
> >> >>
> >> > --
> >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list