[GTER] FastNetMon - DoS/DDoS

Kivio Braga kiviobraga at gmail.com
Fri Oct 23 11:32:35 -02 2015 

Diego,

              Agradeço sua resposta... Encaminhei pvt algumas duvidas dos
parametros usados...

Estou usando um Quagga no mesmo servidor do fastnetmon e fechando iBGP com
os roteadores de BORDA.

Estou pegando a "Variavel IP" que FastNetMon detectar como alvo de
ataque... E marca o endereço em uma community XXXX:666.


*Exemplo:*- notify_about_attack.sh

vtysh -e "conf t" -e "no ip route $1/32 Null0" -e "exit" -e "clear ip bgp
XXX.XXX.XXX.X soft out"


Estou redistriduindo os ips IP/32 aplicado como rota estatica na community
"XXXX:666".

Baseado no range de prefix-list configurado previamente vou liberar
marcação... Acredito que assim poderei fazer alguma tratativa deste
anuncios nas BORDAS para os Upstreams.

!
ip prefix-list blackhole-list description "DOS/DDOS - FASTNETMON"
ip prefix-list blackhole-list seq 5 permit XXX.XXX.XXX.0/20 ge 32 le 32
ip prefix-list blackhole-list seq 10 permit XXX.XXX.XXX.0/20 ge 32 le 32
!
route-map OUT-iBGP-BORDAS permit 10
 match ip address prefix-list blackhole-list
 set community XXXX:666
!






--
Kívio Fernandes Braga

Em 22 de outubro de 2015 23:12, Diego Canton de Brito <
diegocanton at ensite.com.br> escreveu:

>
> 100000 PPS
> 1000 Flows
> Sem média de Mbps, não funcionaram bem.
> Para ativar a métrica de Flows, retire o comment da linha de Contrack
> --
> Enviado do aplicativo myMail para Android quarta-feira, 21 outubro 2015,
> 09:20AM -02:00 de Kivio Braga < kiviobraga at gmail.com> :
>
> >Pessoal,
> >
> >           Quem está usando o FastNetMon para mistigar ataque.. Qual a
> >média de pps,mbps e flow que está deixando configurado para identificar
> >realmente um "ATAQUE" ?
> >
> >Os valores padrões de threshold está gerando alertas para trafego valido.
> >
> ># Limits for Dos/DDoS attacks
> >threshold_pps = 20000
> >threshold_mbps = 1000
> >threshold_flows = 3500
> >
> >
> >Se alguem tiver alguma experiencia.. Deixe o comentario.
> >
> >
> >​​
> >
> >--
> >​Kívio Fernandes Braga​
> >--
> >gter list  https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list