[GTER] RES: RES: Como conviver sem a ferramenta Torchdo RouterOS(Mikrotik)

Rodrigo Augusto rodrigo at 1telecom.com.br
Mon May 28 14:46:49 -03 2012 

Coloquei aqui o ntop e estou fazendo uns testes nele com um dos cores...
muito bom ele.... só uma questão: meu roteador de CORE está em uma rede e
ele em outra.... daí tenho um tráfego neste roteador de ~250MB ..entao ele
está me gerando um trafego para o servidor ntop de 5 MB constante... é
normal isto!? Se aumentar o consumo de banda ele também aumentará isto?!
Pergunto para ver se habilito na borda o netflow ou não. Ou se vou colocando
de core em core......


auth01    => 177.xxx.xxx.xxx  0b      0b      0b<=   5.02Mb  5.00Mb  4.66Mb



-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
nome de Jorge L. Taioque - T.I LPNet
Enviada em: segunda-feira, 28 de maio de 2012 10:24
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] RES: Como conviver sem a ferramenta Torchdo
RouterOS(Mikrotik)

Bom dia

No caso se routers Juniper exite uma ferramenta baseada em TCPDUMP 
"Unix", que é uma ótima alternativa. Não sei se o Torch é baseado nessa 
ferramenta, porem é muito parecido, o conceito é o mesmo.

root at router_01> monitor traffic ?
Possible completions:
<[Enter]>            Execute this command
   absolute-sequence    Display absolute TCP sequence numbers
   brief                Display brief output
   count                Number of packets to receive (0..1000000 packets)
   detail               Display detailed output
   extensive            Display extensive output
   interface            Name of interface
   layer2-headers       Display link-level header on each dump line
   matching             Expression for headers of receive packets to match
   no-domain-names      Don't display domain portion of hostnames
   no-promiscuous       Don't put interface into promiscuous mode
   no-resolve           Don't attempt to print addresses symbolically
   no-timestamp         Don't print timestamp on each dump line
   print-ascii          Display packets in ASCII when displaying in 
hexadecimal format
   print-hex            Display packets in hexadecimal format
   resolve-timeout      Period of time to wait for each name resolution 
(1..4294967295 seconds)
   size                 Amount of each packet to receive (bytes)
   |                    Pipe through a command
root at router_01> monitor traffic
root at router_01> monitor traffic interface ge-1/0/0 ?
Possible completions:
<[Enter]>            Execute this command
   absolute-sequence    Display absolute TCP sequence numbers
   brief                Display brief output
   count                Number of packets to receive (0..1000000 packets)
   detail               Display detailed output
   extensive            Display extensive output
   layer2-headers       Display link-level header on each dump line
   matching             Expression for headers of receive packets to match
   no-domain-names      Don't display domain portion of hostnames
   no-promiscuous       Don't put interface into promiscuous mode
   no-resolve           Don't attempt to print addresses symbolically
   no-timestamp         Don't print timestamp on each dump line
   print-ascii          Display packets in ASCII when displaying in 
hexadecimal format
   print-hex            Display packets in hexadecimal format
   resolve-timeout      Period of time to wait for each name resolution 
(1..4294967295 seconds)
   size                 Amount of each packet to receive (bytes)
   |                    Pipe through a command
root at router_01>



> Pessoal, aproveitando o topico, onde posso obter subsídios teóricos(
> documentação) sobre essas questões?! Benjamin, ntop, nfsen etc....
> Uso, relatórios, como verificar ataques etc..?!
>
>
> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
> nome de Rubens Kuhl
> Enviada em: domingo, 27 de maio de 2012 17:08
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] Como conviver sem a ferramenta Torch do
> RouterOS(Mikrotik)
>
>> Por exemplo, um cliente que está com um consumo alto, mas que não sabe o
>> que está acontecendo, mas com a ajuda do torch, podemos em alguns
segundos
>> identificar origem , destino, porta, protocolo, pacotes por segundo e
taxa
>> daquela conexão específica.
>>
>> Sei que existe o famoso Netflow, mas infelizmente pelo que andei
>> pesquisando, não existem ferramentas gratuitas e de fácil utilização. Já
>> soluções pagam como o Plixer Scrutinizer e o famoso Arbor PeakFlow ,
>> conseguem chegar próximo da facilidade e flexibilidade do Torch e com a
>> vantagem de gerar relatórios. Infelizmente o preço destas soluções é bem
>> alto e chega a ser mais caro que o próprio roteador.
> Eu acho que você desistiu muito cedo do Netflow... como ele já é
> exportado agregado(tipicamente), muitas vezes um "show ip cache flow"
> num equipamento IOS já é suficiente para se chegar a mesma conclusão
> que no Torch. Um export para console do flow-tools, idem...
>
> O Ntop analisando Netflow já deve dar o que você precisa, mas sugiro
> instalar um "benjamin" no netflow e rodar diferentes ferramentas como
> Nfsen, Flow Scan, Flow Matrix até concluir de quais você precisa
> conforme o cenário (diagnóstico, detecção, resposta).
>
>
> Rubens
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
>


-- 

--
gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list