[GTER] Ataque todo o dia DDOS

Diego Canton de Brito diegocanton at ensite.com.br
Mon Nov 9 22:33:38 -02 2015 

 

Boa noite, não acredito que os parâmetros utilizados em outras redes
devam servir de modelo. Acredito que você deva observar seu padrão de
Pps, Mbps e Fps e definir os valores para metade ou 1/3 do que você
naturalmente usa, qualquer coisa acima pode ser de risco para usa rede. 

Vou deixar algumas dicas de como conseguimos reduzir falsos positivos. 

Alteramos o intervalo de média para 60, leva-se 60 segundo para
identificar um ataque e mitiga-lo, mas isso torna tudo muito mais
confiável, à semanas utilizando não tivemos falsos positivos. 

average_calculation_time = 60 

Para podermos usar a métrica por Flows, ativamos o
"enable_connection_tracking" do FastNetMon. 

enable_connection_tracking = on 

Não utilizamos o limite por Mbps por apresentar um índice muito alto de
falsos positivos que não conseguimos reduzir. 

Os parametros que usamos foram necessários para que não tivessemos
principalmente problemas com VPNs, de algum modo estranho o trafego de
um VPN costuma ser contabilizado de uma vez só ao final da conexão, o
que gera um volume de trafego absurdo na média. 

Outro ponto interessante é manter o "Sampling rate" no juniper 1:1, e
não 10:1 como está na doc do fastnetmon, isso deixa os dados mais
precisos tanto para o NfSen ou outro coletor, quanto para o fastnetmon. 

Lembrando que cada caso é um, você pode querer barrar ataques com
volumes menores, ou em tempos menores, sua rede pode ter um uso muito
menor de pacotes. 

PS: Tenho pegado ataques mais em FLOWS do que em PPS, isso mitigar antes
do volume causar estragos. 
---

Att.

-------------------------

Em 2015-11-09 21:45, Leonardo Gutierres escreveu: 

> Boa noite
> 
> Qual sua configuração do sflow, 1 em quantos pacotes você analisa?
> 
> Obrigado
> 
> Leonardo Gutierres Silva
> 
> Administrador de Redes
> Netpal Telecom
> 
> Em 9 de novembro de 2015 20:57, Josivan Barbosa <josivan.barbosa01 at gmail.com
> 
>> escreveu:
> Em 6 de novembro de 2015 20:20, Bruno Cabral <bruno at openline.com.br> escreveu: Entao fastnetmon [1 [1]] com iBGP para passar os bloqueios para a borda repassar aos upstreams com blackhole... Ativei o FastNetmon e está funcionando muito bem. Alguém está utilizando junto com o UTRS[1 [1]] [1] https://www.team-cymru.org/UTRS/ [1] -- Att Josivan Barbosa -- gter list https://eng.registro.br/mailman/listinfo/gter [2]

--
gter list https://eng.registro.br/mailman/listinfo/gter [2]

 

Links:
------
[1] https://www.team-cymru.org/UTRS/
[2] https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list