[GTER] Ataque todo o dia DDOS
Rubens Kuhl
rubensk at gmail.com
Mon Nov 9 23:29:48 -02 2015
>
>
> Para podermos usar a métrica por Flows, ativamos o
> "enable_connection_tracking" do FastNetMon.
>
> enable_connection_tracking = on
Outro ponto interessante é manter o "Sampling rate" no juniper 1:1, e
não 10:1 como está na doc do fastnetmon, isso deixa os dados mais
> precisos tanto para o NfSen ou outro coletor, quanto para o fastnetmon.
As duas coisas estão relacionadas. connection_tracking em tráfego sampleado
é bem impreciso.
O problema de 1:1 é que exige mais tanto do roteador quanto do seu
processador de flows... em Juniper série M (não a MX) isso era inviável.
>
> Os parametros que usamos foram necessários para que não tivessemos
> principalmente problemas com VPNs, de algum modo estranho o trafego de
> um VPN costuma ser contabilizado de uma vez só ao final da conexão, o
> que gera um volume de trafego absurdo na média.
>
Isso é normal de emitir um flow apenas quando ele expira, e se o tráfego se
mantém, o flow não expira. Para contabilidade de tráfego, que normalmente
se faz em escala de dias, não é problema... para segurança é.
Rubens
More information about the gter
mailing list