[GTER] Fastnetmon
Diego Canton de Brito
diegocantondebrito at outlook.com
Sun Mar 18 20:54:50 -03 2018
Se me lembro bem:
# We use average values for traffic speed to certain IP and we calculate average over this time slice
#average_calculation_time = 5
average_calculation_time = 60
Com isso ele passou a calcular melhor quando terminava alguma conexão GRE e não atingir tão facilmente os limites.
Mas preciso avisar que alterar esse parâmetro também afeta no tempo de ação por parte do fastnetmon, que nesse caso deixa o ataque ocorrer por 60 segundos.
Sobre os valores ajustados para ataques, não posso passar, o que posso dizer é, ajuste um valor que lhe pareça razoável, deixe ele agir, observe os dados de cada falso positivo e compare com o que lhe prejudique ou não, em algum momento você achará os parâmetros que você pode deixar passar e filtrar de outras formas e quais você terá que usar o RTBH. Já tive problemas ao passar o que uso e na rede que tentou copiar eles não resolverem ou ainda gerarem falsos positivos.
Um ponto importante se você usar Netflow, é ajustar o sampling conforme você usa em seu roteador.
# Netflow agents uses different and very complex approaches for notifying about sample ratio
# Here you could specify sampling ratio for all agents
netflow_sampling_ratio = X
Onde X é o valor ajustado em seu router.
Vale ressaltar que uso Netflow.
________________________________
De: gter <gter-bounces at eng.registro.br> em nome de Délsio Cabá <delsio at gmail.com>
Enviado: domingo, 18 de março de 2018 08:26
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] Fastnetmon
Caro
Sera que podias partilhar a sua configuração
Obrigado
Diego Canton de Brito <diegocdeb at hotmail.com> escreveu em dom, 18/03/2018
às 10:07 :
> Usamos aqui desde que apresentaram ele em uma lista de discussão, se não
> me engano, isso a uns 2 anos.
>
> Foi umas 2 a 3 semanas testando até entender e achar os parâmetros que não
> gerasse tantos alarmes falsos com NAT e GRE.
>
> Se estiver usando Flows, lembre-se de considerar e ajustar sua amostragem.
>
> Aqui aumentamos o tempo de analise, leva mais tempo para detectar, se não
> me engano o padrão é 15 segundos e aumentamos para 60, isso ajudou a evitar
> os falsos positivos com GRE e outros.
>
> Obter o Outlook para Android<https://nam03.safelinks.protection.outlook.com/?url=https%3A%2F%2Faka.ms%2Fghei36&data=02%7C01%7C%7C36433d3dabd24789041208d58cc7de82%7C84df9e7fe9f640afb435aaaaaaaaaaaa%7C1%7C0%7C636569712433203552&sdata=XzCfP9VXGgZSPSaa6TW5faw6C5t%2Bj%2FvXplttBxCcpIk%3D&reserved=0>
>
> ________________________________
> From: gter <gter-bounces at eng.registro.br> on behalf of Junior Dallabeta <
> junior at p4telecom.com.br>
> Sent: Friday, March 16, 2018 5:59:18 PM
> To: gter at eng.registro.br
> Subject: [GTER] Fastnetmon
>
> boa tarde pessoal, alguém aqui utiliza a ferramenta fastnetmon para
> analise e detecção de DDoS?
>
> estou fazendo alguns testes com a ferramenta na versão trial e surgiu
> alguma dúvidas sobre o funcionamento...
>
> --
> Att
> Junior Dallabeta
>
> --
> gter list
> https://eur02.safelinks.protection.outlook.com/?url=https%3A%2F%2Feng.registro.br%2Fmailman%2Flistinfo%2Fgter&data=02%7C01%7C%7Cb583f83d5698405a78d708d58b84fe1c%7C84df9e7fe9f640afb435aaaaaaaaaaaa%7C1%7C0%7C636568325669543503&sdata=UuT%2BdjQUX7Yt9a2urX4%2FcbQfPwmtGepARyJKN75cmWE%3D&reserved=0
> --
> gter list https://nam03.safelinks.protection.outlook.com/?url=https%3A%2F%2Feng.registro.br%2Fmailman%2Flistinfo%2Fgter&data=02%7C01%7C%7C36433d3dabd24789041208d58cc7de82%7C84df9e7fe9f640afb435aaaaaaaaaaaa%7C1%7C0%7C636569712433203552&sdata=tIClAOW2hpjxhTdslFdc6geppi3VEuCuuSxaOr4An0E%3D&reserved=0
>
--
gter list https://nam03.safelinks.protection.outlook.com/?url=https%3A%2F%2Feng.registro.br%2Fmailman%2Flistinfo%2Fgter&data=02%7C01%7C%7C36433d3dabd24789041208d58cc7de82%7C84df9e7fe9f640afb435aaaaaaaaaaaa%7C1%7C0%7C636569712433203552&sdata=tIClAOW2hpjxhTdslFdc6geppi3VEuCuuSxaOr4An0E%3D&reserved=0
More information about the gter
mailing list