[GTER] RES: RES: RES: RES: RES: Há alternativa livre ou barata ao ntop p/ relatório de NetFlow?

Vicente De Luca vicente.luca at gmail.com
Tue Aug 11 05:39:14 -03 2015


following up:

     Ativei recentemente o plugin do fastnetmon pra armazenar 
pps/bps/flows em InfluxDB (graphite compatible).
Daí para integrar com Grafana foi bem fácil. o resultado é o dashboard 
abaixo, com granularidade a cada 1 segundo. é fantástico ! (e grátis!)

Com um pouquinho de esforço voce consegue criar Annotations neste 
gráfico, ou seja, quando um ataque é detectado, ele insere uma barra 
vermelha vertical no timestamp do ataque, e popula com as informações do 
FastNetMon. Voce consegue plotar gráficos "real-time" do total / por 
network / por IP /32 (ou IPv6 /128)

O dashboard é somente a pontinha do iceberg, mas ja garante uma fácil / 
rápida visualização pra NOCs e afins !!





> Rubens Kuhl <mailto:rubensk at gmail.com>
> June 17, 2015 at 4:01 PM
>
> Apesar de manual, sugiro o script já preparar uma configuração alterada
> pronta para ser aplicada. Já vi erros de digitação em procedimento desse
> tipo, que não são o tipo de resultado que você gostaria.. a revisão humana
> para tomada de decisão é importante, mas um apoio automatizado para ela é
> bom ter.
>
>
> Rubens
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
> Caio Bussaca <mailto:caiobussaca at gmail.com>
> June 16, 2015 at 12:56 PM
> O meu intuito na utilização do fastnetmon é gerar um alarme da ocorrência
> do ataque via SMS - através do pacote gsm-utils - adicionando um simples
> comando dentro do arquivo "notify_about_attack.sh" para realização desse
> disparo e, manualmente, adicionar o IP atacante à blackhole.
>
> Em 15 de junho de 2015 22:44, Rodrigo Baldasso <rodrigo at loophost.com.br>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
> Rodrigo Baldasso <mailto:rodrigo at loophost.com.br>
> June 16, 2015 at 2:44 AM
> Só quem consegue colocar um IP na blackhole é a operadora que está 
> anunciando ele...
>
> Efetuar só o bloqueio dele também não resolve, o tráfego vai continuar 
> chegando na borda de alguém (na sua ou na operadora).
>
> Sent from my iPhone
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
> DMM Listas <mailto:dmm.listas at gmail.com>
> June 16, 2015 at 1:28 AM
> :(
>
> Eu queria identificar o ataque e colocar o IP do atacante em 
> blackhole, não
> o IP do servidor atacado.
> Pessoal lá do serviço que tá testando ele, não tenho acompanhado. Pensar
> que essa possibilidade existia havia me deixado bem animado.
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
> Vicente De Luca <mailto:vicente.luca at gmail.com>
> June 15, 2015 at 9:44 PM
> Eu to exportando com sampler-map random 1 out-of 10000
> a detecção é bem rápida, e com fastnetmon não precisamos gerar gráfico 
> pra avaliar thresholds :).
> o processo todo entre detecção via fastnetmon e completa mitigação 
> (convergência roteamento via cloud scrubbing) levou com certeza menos 
> de 10 minutos nas duas oportunidades em que tive pra avaliar o 
> funcionamento prático.
>
> estamos avaliando outras soluções em paralelo, como a cloudhelix.com 
> -- prometem ser o New Relic pra networks,
> bem como criando um custom flow analytics algorithm para o Scrutinizer 
> 15.5.
>
> até agora o fastnetmon respondeu além das expectativas, pra uma 
> ferramenta open source e relativamente imatura.
> o cloudhelix traz essa função de detecção e trigger via http post, mas 
> traz uma gama de reports e integrações interessantes. Se voce nao 
> tiver problemas em exportar seus flows para uma empresa de SaaS, pode 
> ser uma boa opção também.. e não é caro -- cobrado por device.
>
>
>
>
>
>
>

-- 
Sent with Postbox <http://www.getpostbox.com>



More information about the gter mailing list