[GTER] Monitor ARP SNMP Agent

Douglas Fischer fischerdouglas at gmail.com
Thu Apr 19 10:30:07 -03 2018 

Shine,
faz todo sentido suas perguntas.


Então, sem mistério, deixo claro que o objetivo primários é criar um
mecanismo para ajudar a resolver o problema de ARP-Flood no IX-SP.
Mas já enxerguei possibilidade de uso dessa ferramenta em outros ambientes:
 - Outros IX
 - Rede industriais(são sensíveis a broadcast).

"1) coletar pacotes ARP
Não está claro se você quer um ARP table ou se você quer uma projeção de
ARP broadcast.
Se for o ARP table tudo bem, fácil de obter. Mas qual o sentido de ter um
ARP table? Isso não muda tão significativamente.
Agora se você quer um ARP broadcast counter, já muda de figura. Isso não é
obtido trivialmente via SNMP."


A ideia é na verdade criar multi-contador de pacotes, com base numa
informação de sub-rede, e fazer com que esse contador seja acessível via
SNMP.

   - ARP-Request Emitidos por esse IP Perguntando destinos Dentro da Faixa
de rede especificada
     - IP 1
     - IP 2
     - IP ..
     - IP N
   - ARP-Request Emitidos por esse IP Perguntando destinos FORA DA FAIXA de
rede especificada
     - IP 1
     - IP 2
     - IP ..
     - IP N
   - ARP-Gratuitos Emitidos por esse IP
     - IP 1
     - IP 2
     - IP ..
     - IP N
   - ARP-Request Emitidos todos os IPS Perguntando por esse IP como destino
     - IP 1
     - IP 2
     - IP ..
     - IP N
   - ARP-Request emitidos por IPs fora da faixa especifica
     - Contador seco Global
​
Estou considerando um mecanismo de definição automática da faixa de
sub-rede a ser trabalhada buscando diretamente na configuração da placa de
rede, ou com a opção de forçar a faixa desejada no arquivo de configuração.


"2) formatar a informação
De posse desses pacotes, o que vai ser exatamente monitorado? Quantidade
absoluta? Top talkers?"

Disponibilizando essa informação granularizada via SNMP, usando qualquer
uma dessas ferramentas comuns de monitoramento(Nagios, Zabbix, Zennos,
Observiun, Etc...) oque fazer com essa informação, o céu é o limite.

Meu sonho é a parte de Triggers e Reações ser implementada pelo IX (quarentena
continuada).
https://youtu.be/TgFlRXCxRX0?t=24m55s
Com o Zabbix do IX.BR, isso ficaria mole-mole.


Mas um dos objetivos é entregar a cada participante do IX a possibilidade
de saber quem são os cara que estão causando problema.
Tendo a informação, faz o que achar melhor...
Quem sabe cada participante automatizar em seu sistema de monitoramento um
envio de e-mail para os participantes barulhentos?




Em 18 de abril de 2018 18:52, Shine <eshine at gmail.com> escreveu:

> Douglas,
>
> Vamos ver se eu entendi a proposição:
> 1) coletar pacotes ARP
> Não está claro se você quer um ARP table ou se você quer uma projeção de
> ARP broadcast.
> Se for o ARP table tudo bem, fácil de obter. Mas qual o sentido de ter um
> ARP table? Isso não muda tão significativamente.
> Agora se você quer um ARP broadcast counter, já muda de figura. Isso não é
> obtido trivialmente via SNMP.
> 2) formatar a informação
> De posse desses pacotes, o que vai ser exatamente monitorado? Quantidade
> absoluta? Top talkers?
>
> Tenho algumas idéias que poderia te passar, mas sem saber a aplicação pode
> ser que fale bobagem.
>
> Em 18 de abril de 2018 14:42, Douglas Fischer <fischerdouglas at gmail.com>
> escreveu:
>
> > Estou trabalhando numa ferramenta para coletar e medir pacotes ARP em um
> > segmento de rede.
> > (advinhem para que!)
> >
> >
> > Já fiz algumas evoluções. Mas como desenvolvedor, sou um ótimo
> cozinheiro.
> > Eu estava tomando um rumo bem grotesco, voltado bash e a arquivos texto.
> > E já de cara percebi que esse caminho é pouco escalável e pouco adequado.
> >
> >
> > Minha ideia é criar um mecanismo que alimente MIBs SNMP para que essas
> > informações possam se coletadas por qualquer monitor de rede padrão de
> > mercado.
> >
> >
> > Apesar de ser um programador medíocre, estou bem disposto a fazer esse
> > projeto decolar.
> > E estou precisando de tutoria nessa tarefa.
> >
> > Alguma boa alma com paciência para dar o caminho das pedras nessa tarefa?
> >
> >
> >
> >
> > P.S.: Eu fiz algumas pesquisas e não encontrei algo que se enquadre com o
> > que estou procurando.
> >       Mas se alguém perceber que estou reinventando a roda, estou aberto
> a
> > sugestões.
> >
> >
> > --
> > Douglas Fernando Fischer
> > Engº de Controle e Automação
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação

More information about the gter mailing list