[GTER] Fastnetmon

Andre Almeida andre at bnet.com.br
Wed Apr 11 17:08:45 -03 2018


Alguém que use o FastNetMon tem algum script de report via Telegram?
Só encontrei do SLACK.

Obrigado

Andre

Em 19 de março de 2018 08:30, Junior Dallabeta <junior at p4telecom.com.br>
escreveu:

> bom dia pessoal, depois de uma semana trocando e-mails e lendo o manual,
> consegui entender o funcionamento e deixar ele rodando, era uma
> configuração que tinha errado...
>
> para fazer o ajuste com a questão do nosso trafego, deixei rodando sem
> efetuar qualquer ação (envio para blackhole), para poder ver a questão de
> falso positivo, após esses ajustes está rodando lindamente.
>
>
>
> On 18/03/2018 20:54, Diego Canton de Brito wrote:
>
>> Se me lembro bem:
>>
>> # We use average values for traffic speed to certain IP and we calculate
>> average over this time slice
>> #average_calculation_time = 5
>> average_calculation_time = 60
>>
>> Com isso ele passou a calcular melhor quando terminava alguma conexão GRE
>> e não atingir tão facilmente os limites.
>> Mas preciso avisar que alterar esse parâmetro também afeta no tempo de
>> ação por parte do fastnetmon, que nesse caso deixa o ataque ocorrer por 60
>> segundos.
>>
>>
>> Sobre os valores ajustados para ataques, não posso passar, o que posso
>> dizer é, ajuste um valor que lhe pareça razoável, deixe ele agir, observe
>> os dados de cada falso positivo e compare com o que lhe prejudique ou não,
>> em algum momento você achará os parâmetros que você pode deixar passar e
>> filtrar de outras formas e quais você terá que usar o RTBH. Já tive
>> problemas ao passar o que uso e na rede que tentou copiar eles não
>> resolverem ou ainda gerarem falsos positivos.
>>
>>
>> Um ponto importante se você usar Netflow, é ajustar o sampling conforme
>> você usa em seu roteador.
>>
>> # Netflow agents uses different and very complex approaches for notifying
>> about sample ratio
>> # Here you could specify sampling ratio for all agents
>> netflow_sampling_ratio = X
>>
>> Onde X é o valor ajustado em seu router.
>>
>>
>>
>> Vale ressaltar que uso Netflow.
>>
>> ________________________________
>> De: gter <gter-bounces at eng.registro.br> em nome de Délsio Cabá <
>> delsio at gmail.com>
>> Enviado: domingo, 18 de março de 2018 08:26
>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
>> Assunto: Re: [GTER] Fastnetmon
>>
>> Caro
>>
>> Sera que podias partilhar a sua configuração
>>
>> Obrigado
>>
>> Diego Canton de Brito <diegocdeb at hotmail.com> escreveu em dom, 18/03/2018
>> às 10:07 :
>>
>> Usamos aqui desde que apresentaram ele em uma lista de discussão, se não
>>> me engano, isso a uns 2 anos.
>>>
>>> Foi umas 2 a 3 semanas testando até entender e achar os parâmetros que
>>> não
>>> gerasse tantos alarmes falsos com NAT e GRE.
>>>
>>> Se estiver usando Flows, lembre-se de considerar e ajustar sua
>>> amostragem.
>>>
>>> Aqui aumentamos o tempo de analise, leva mais tempo para detectar, se não
>>> me engano o padrão é 15 segundos e aumentamos para 60, isso ajudou a
>>> evitar
>>> os falsos positivos com GRE e outros.
>>>
>>> Obter o Outlook para Android<https://nam03.safelink
>>> s.protection.outlook.com/?url=https%3A%2F%2Faka.ms%2Fghei36&
>>> data=02%7C01%7C%7C36433d3dabd24789041208d58cc7de82%7C84df9e7
>>> fe9f640afb435aaaaaaaaaaaa%7C1%7C0%7C636569712433203552&
>>> sdata=XzCfP9VXGgZSPSaa6TW5faw6C5t%2Bj%2FvXplttBxCcpIk%3D&reserved=0>
>>>
>>> ________________________________
>>> From: gter <gter-bounces at eng.registro.br> on behalf of Junior Dallabeta
>>> <
>>> junior at p4telecom.com.br>
>>> Sent: Friday, March 16, 2018 5:59:18 PM
>>> To: gter at eng.registro.br
>>> Subject: [GTER] Fastnetmon
>>>
>>> boa tarde pessoal, alguém aqui utiliza a ferramenta fastnetmon para
>>> analise e detecção de DDoS?
>>>
>>> estou fazendo alguns testes com a ferramenta na versão trial e surgiu
>>> alguma dúvidas sobre o funcionamento...
>>>
>>> --
>>> Att
>>> Junior Dallabeta
>>>
>>> --
>>> gter list
>>> https://eur02.safelinks.protection.outlook.com/?url=https%
>>> 3A%2F%2Feng.registro.br%2Fmailman%2Flistinfo%2Fgter&data=02%
>>> 7C01%7C%7Cb583f83d5698405a78d708d58b84fe1c%7C84df9e7fe9f640a
>>> fb435aaaaaaaaaaaa%7C1%7C0%7C636568325669543503&sdata=UuT%
>>> 2BdjQUX7Yt9a2urX4%2FcbQfPwmtGepARyJKN75cmWE%3D&reserved=0
>>> --
>>> gter list    https://nam03.safelinks.protection.outlook.com/?url=https%
>>> 3A%2F%2Feng.registro.br%2Fmailman%2Flistinfo%2Fgter&data=02%
>>> 7C01%7C%7C36433d3dabd24789041208d58cc7de82%7C84df9e7fe9f640a
>>> fb435aaaaaaaaaaaa%7C1%7C0%7C636569712433203552&sdata=tIClAOW
>>> 2hpjxhTdslFdc6geppi3VEuCuuSxaOr4An0E%3D&reserved=0
>>>
>>> --
>> gter list    https://nam03.safelinks.protection.outlook.com/?url=https%
>> 3A%2F%2Feng.registro.br%2Fmailman%2Flistinfo%2Fgter&data=02%
>> 7C01%7C%7C36433d3dabd24789041208d58cc7de82%7C84df9e7fe9f640a
>> fb435aaaaaaaaaaaa%7C1%7C0%7C636569712433203552&sdata=tIClAOW
>> 2hpjxhTdslFdc6geppi3VEuCuuSxaOr4An0E%3D&reserved=0
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>
> --
> Att
> Junior Dallabeta
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list