[GTER] FastNetMon - DoS/DDoS
Kivio Braga
kiviobraga at gmail.com
Fri Oct 23 11:32:35 -02 2015
Diego,
Agradeço sua resposta... Encaminhei pvt algumas duvidas dos
parametros usados...
Estou usando um Quagga no mesmo servidor do fastnetmon e fechando iBGP com
os roteadores de BORDA.
Estou pegando a "Variavel IP" que FastNetMon detectar como alvo de
ataque... E marca o endereço em uma community XXXX:666.
*Exemplo:*- notify_about_attack.sh
vtysh -e "conf t" -e "no ip route $1/32 Null0" -e "exit" -e "clear ip bgp
XXX.XXX.XXX.X soft out"
Estou redistriduindo os ips IP/32 aplicado como rota estatica na community
"XXXX:666".
Baseado no range de prefix-list configurado previamente vou liberar
marcação... Acredito que assim poderei fazer alguma tratativa deste
anuncios nas BORDAS para os Upstreams.
!
ip prefix-list blackhole-list description "DOS/DDOS - FASTNETMON"
ip prefix-list blackhole-list seq 5 permit XXX.XXX.XXX.0/20 ge 32 le 32
ip prefix-list blackhole-list seq 10 permit XXX.XXX.XXX.0/20 ge 32 le 32
!
route-map OUT-iBGP-BORDAS permit 10
match ip address prefix-list blackhole-list
set community XXXX:666
!
--
Kívio Fernandes Braga
Em 22 de outubro de 2015 23:12, Diego Canton de Brito <
diegocanton at ensite.com.br> escreveu:
>
> 100000 PPS
> 1000 Flows
> Sem média de Mbps, não funcionaram bem.
> Para ativar a métrica de Flows, retire o comment da linha de Contrack
> --
> Enviado do aplicativo myMail para Android quarta-feira, 21 outubro 2015,
> 09:20AM -02:00 de Kivio Braga < kiviobraga at gmail.com> :
>
> >Pessoal,
> >
> > Quem está usando o FastNetMon para mistigar ataque.. Qual a
> >média de pps,mbps e flow que está deixando configurado para identificar
> >realmente um "ATAQUE" ?
> >
> >Os valores padrões de threshold está gerando alertas para trafego valido.
> >
> ># Limits for Dos/DDoS attacks
> >threshold_pps = 20000
> >threshold_mbps = 1000
> >threshold_flows = 3500
> >
> >
> >Se alguem tiver alguma experiencia.. Deixe o comentario.
> >
> >
> >
> >
> >--
> >Kívio Fernandes Braga
> >--
> >gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list