[GTER] RES: RES: RES: RES: RES: RES: Há alternativa livre ou barata ao ntop p/ relatório de NetFlow?
Diego Canton de Brito
diegocanton at ensite.com.br
Tue Aug 11 09:16:17 -03 2015
Bom dia,
Será que consegue gerar um tutorial bem sucinto para nos dar uma luz do que vc fez?
Talvez um vídeo mostrando o funcionamento?
Parece-me ser bom esse software.
Att,
Rua Santos Dumont, 511 – Centro – Birigui/SP - CEP: 16200-095
-----Mensagem original-----
De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Vicente De Luca
Enviada em: terça-feira, 11 de agosto de 2015 05:39
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] RES: RES: RES: RES: RES: Há alternativa livre ou barata ao ntop p/ relatório de NetFlow?
following up:
Ativei recentemente o plugin do fastnetmon pra armazenar pps/bps/flows em InfluxDB (graphite compatible).
Daí para integrar com Grafana foi bem fácil. o resultado é o dashboard abaixo, com granularidade a cada 1 segundo. é fantástico ! (e grátis!)
Com um pouquinho de esforço voce consegue criar Annotations neste gráfico, ou seja, quando um ataque é detectado, ele insere uma barra vermelha vertical no timestamp do ataque, e popula com as informações do FastNetMon. Voce consegue plotar gráficos "real-time" do total / por network / por IP /32 (ou IPv6 /128)
O dashboard é somente a pontinha do iceberg, mas ja garante uma fácil / rápida visualização pra NOCs e afins !!
> Rubens Kuhl <mailto:rubensk at gmail.com>
> June 17, 2015 at 4:01 PM
>
> Apesar de manual, sugiro o script já preparar uma configuração alterada
> pronta para ser aplicada. Já vi erros de digitação em procedimento desse
> tipo, que não são o tipo de resultado que você gostaria.. a revisão humana
> para tomada de decisão é importante, mas um apoio automatizado para ela é
> bom ter.
>
>
> Rubens
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
> Caio Bussaca <mailto:caiobussaca at gmail.com>
> June 16, 2015 at 12:56 PM
> O meu intuito na utilização do fastnetmon é gerar um alarme da ocorrência
> do ataque via SMS - através do pacote gsm-utils - adicionando um simples
> comando dentro do arquivo "notify_about_attack.sh" para realização desse
> disparo e, manualmente, adicionar o IP atacante à blackhole.
>
> Em 15 de junho de 2015 22:44, Rodrigo Baldasso <rodrigo at loophost.com.br>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
> Rodrigo Baldasso <mailto:rodrigo at loophost.com.br>
> June 16, 2015 at 2:44 AM
> Só quem consegue colocar um IP na blackhole é a operadora que está
> anunciando ele...
>
> Efetuar só o bloqueio dele também não resolve, o tráfego vai continuar
> chegando na borda de alguém (na sua ou na operadora).
>
> Sent from my iPhone
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
> DMM Listas <mailto:dmm.listas at gmail.com>
> June 16, 2015 at 1:28 AM
> :(
>
> Eu queria identificar o ataque e colocar o IP do atacante em
> blackhole, não
> o IP do servidor atacado.
> Pessoal lá do serviço que tá testando ele, não tenho acompanhado. Pensar
> que essa possibilidade existia havia me deixado bem animado.
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
> Vicente De Luca <mailto:vicente.luca at gmail.com>
> June 15, 2015 at 9:44 PM
> Eu to exportando com sampler-map random 1 out-of 10000
> a detecção é bem rápida, e com fastnetmon não precisamos gerar gráfico
> pra avaliar thresholds :).
> o processo todo entre detecção via fastnetmon e completa mitigação
> (convergência roteamento via cloud scrubbing) levou com certeza menos
> de 10 minutos nas duas oportunidades em que tive pra avaliar o
> funcionamento prático.
>
> estamos avaliando outras soluções em paralelo, como a cloudhelix.com
> -- prometem ser o New Relic pra networks,
> bem como criando um custom flow analytics algorithm para o Scrutinizer
> 15.5.
>
> até agora o fastnetmon respondeu além das expectativas, pra uma
> ferramenta open source e relativamente imatura.
> o cloudhelix traz essa função de detecção e trigger via http post, mas
> traz uma gama de reports e integrações interessantes. Se voce nao
> tiver problemas em exportar seus flows para uma empresa de SaaS, pode
> ser uma boa opção também.. e não é caro -- cobrado por device.
>
>
>
>
>
>
>
--
Sent with Postbox <http://www.getpostbox.com>
--
gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list