[GTER] Analisar trafego Tunnel GRE - Huawei

Fred Pedrisa [HyperFilter DDoS Protection Solutions] pedrisa at hyperfilter.com
Mon Mar 1 11:37:33 -03 2021


Isso mesmo,

Talvez no caso do GRE ele não consiga fazer a geração/exportação de 
flows, mas ao gerar isso através de uma interface física, ele ainda 
poderá ver o conteúdo através das amostras, claro que isso estará 
"encapsulado" via GRE, mas ainda sim, com técnicas apropriadas, você 
poderá analisar o tráfego.

Att,

On 01/03/2021 11:35, mestre pô wrote:
> Correto Fred,
>
> O Huawei suporta várias versões e configurações de netflow, estou seguindo
> a linha de raciocínio do André que disse que não está conseguindo isso para
> o GRE.
>
> On Mon, Mar 1, 2021 at 11:31 AM Fred Pedrisa [HyperFilter DDoS Protection
> Solutions] <pedrisa at hyperfilter.com> wrote:
>
>> Bom dia,
>>
>> Lembre-se que, vários roteadores e switchs, ao exportarem os flows,
>> também exportam o "conteudo" dos pacotes nas amostras, tudo depende se o
>> Huawei faz isso ou não. ;-)
>>
>> Att,
>>
>> On 01/03/2021 11:27, mestre pô wrote:
>>> Olá André,
>>>
>>> Exportar flows é uma coisa, mas espelhar o tráfego todo da porta física
>>> para outra porta física é bastante diferente. Se a porta tiver um tráfego
>>> muito alto não se esqueça de limitar a coleta usando algum filtro (o
>>> mirroring permite) ou a máquina onde estiver o wireshark pode dar um
>>> chilique.
>>>
>>> Em tese tudo que chegar nessa porta física deverá ser "visto" pelo
>>> wireshark. Lembrando que se o tráfego que está monitorando estiver
>>> criptografado talvez não seja de muita ajuda. Penso que a sinalização GRE
>>> deveria ser suficiente para um troubleshooting.
>>>
>>> Att,
>>> Ricardo Tavares
>>>
>>> On Mon, Mar 1, 2021 at 11:16 AM Andre Almeida <andre at bnet.com.br> wrote:
>>>
>>>> Mas se eu fizer mirroring da porta que chega o túnel, acho que o efeito
>>>> será o mesmo do flow, ou seja, vou só conseguir capturar os pacotes
>>>> encapsulados no GRE
>>>> Estou errado?
>>>>
>>>> Att,
>>>>
>>>> Andre
>>>>
>>>>
>>>> Em seg., 1 de mar. de 2021 às 11:12, mestre pô <curupas at gmail.com>
>>>> escreveu:
>>>>
>>>>> Bom dia,
>>>>>
>>>>> Já tentou mirroring da porta onde chega o túnel para uma outra porta
>> onde
>>>>> exista uma máquina com wireshark?
>>>>>
>>>>> Att,
>>>>> Ricardo Tavares
>>>>>
>>>>> On Fri, Feb 26, 2021 at 5:02 PM Andre Almeida <andre at bnet.com.br>
>> wrote:
>>>>>> Fala pessoal, blz?
>>>>>>
>>>>>> Alguém tem alguma ideia de como eu posso fazer uma análise de um
>>>> tráfego
>>>>>> que vem por um tunel gre ? Já que o Huawei não permite exportação de
>>>> flow
>>>>>> dessas interfaces?
>>>>>>
>>>>>> Obrigado!
>>>>>>
>>>>>> Andre
>>>>>> --
>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>
>>>>> --
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> --
>> *Fred Pedrisa - CEO/CTO*
>> HyperFilter DDoS Protection Solutions <https://www.hyperfilter.com>
>> A FNXTEC, Company.
>> *Mobile:* +55 (11) 97177-7000
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
-- 
*Fred Pedrisa - CEO/CTO*
HyperFilter DDoS Protection Solutions <https://www.hyperfilter.com>
A FNXTEC, Company.
*Mobile:* +55 (11) 97177-7000


More information about the gter mailing list