[GTER] Ataque todo o dia DDOS

Josivan Barbosa josivan.barbosa01 at gmail.com
Tue Nov 10 12:32:41 -02 2015


Estou utilizando sflow com switch Extreme. Como o Diego mencionou, devemos
analisar os parâmetros de funcionamento "normal" da sua rede antes de
definir as métricas.
Sobre o BHR, para a minha surpresa, a GVT não está aceitando /32 para BHR.
Tive que configurar para anunciar todo o /24. :/

Em 9 de novembro de 2015 22:29, Rubens Kuhl <rubensk at gmail.com> escreveu:

> >
> >
> > Para podermos usar a métrica por Flows, ativamos o
> > "enable_connection_tracking" do FastNetMon.
> >
> > enable_connection_tracking = on
>
>
> Outro ponto interessante é manter o "Sampling rate" no juniper 1:1, e
>
>
> não 10:1 como está na doc do fastnetmon, isso deixa os dados mais
>
>
>
> > precisos tanto para o NfSen ou outro coletor, quanto para o fastnetmon.
>
>
>
> As duas coisas estão relacionadas. connection_tracking em tráfego sampleado
> é bem impreciso.
> O problema de 1:1 é que exige mais tanto do roteador quanto do seu
> processador de flows... em Juniper série M (não a MX) isso era inviável.
>
>
> >
> > Os parametros que usamos foram necessários para que não tivessemos
> > principalmente problemas com VPNs, de algum modo estranho o trafego de
> > um VPN costuma ser contabilizado de uma vez só ao final da conexão, o
> > que gera um volume de trafego absurdo na média.
> >
>
> Isso é normal de emitir um flow apenas quando ele expira, e se o tráfego se
> mantém, o flow não expira. Para contabilidade de tráfego, que normalmente
> se faz em escala de dias, não é problema... para segurança é.
>
>
>
> Rubens
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Att

Josivan Barbosa



More information about the gter mailing list