[GTER] Analisar trafego Tunnel GRE - Huawei

Tales Rodarte talesrodarte at gmail.com
Mon Mar 1 12:58:12 -03 2021


Talvez seja mais simples exportar sflow usando um switch antes dos 
upstream ou depois.

--

Tales


Em 01/03/2021 11:37, Fred Pedrisa [HyperFilter DDoS Protection 
Solutions] escreveu:
> Isso mesmo,
>
> Talvez no caso do GRE ele não consiga fazer a geração/exportação de 
> flows, mas ao gerar isso através de uma interface física, ele ainda 
> poderá ver o conteúdo através das amostras, claro que isso estará 
> "encapsulado" via GRE, mas ainda sim, com técnicas apropriadas, você 
> poderá analisar o tráfego.
>
> Att,
>
> On 01/03/2021 11:35, mestre pô wrote:
>> Correto Fred,
>>
>> O Huawei suporta várias versões e configurações de netflow, estou 
>> seguindo
>> a linha de raciocínio do André que disse que não está conseguindo 
>> isso para
>> o GRE.
>>
>> On Mon, Mar 1, 2021 at 11:31 AM Fred Pedrisa [HyperFilter DDoS 
>> Protection
>> Solutions] <pedrisa at hyperfilter.com> wrote:
>>
>>> Bom dia,
>>>
>>> Lembre-se que, vários roteadores e switchs, ao exportarem os flows,
>>> também exportam o "conteudo" dos pacotes nas amostras, tudo depende 
>>> se o
>>> Huawei faz isso ou não. ;-)
>>>
>>> Att,
>>>
>>> On 01/03/2021 11:27, mestre pô wrote:
>>>> Olá André,
>>>>
>>>> Exportar flows é uma coisa, mas espelhar o tráfego todo da porta 
>>>> física
>>>> para outra porta física é bastante diferente. Se a porta tiver um 
>>>> tráfego
>>>> muito alto não se esqueça de limitar a coleta usando algum filtro (o
>>>> mirroring permite) ou a máquina onde estiver o wireshark pode dar um
>>>> chilique.
>>>>
>>>> Em tese tudo que chegar nessa porta física deverá ser "visto" pelo
>>>> wireshark. Lembrando que se o tráfego que está monitorando estiver
>>>> criptografado talvez não seja de muita ajuda. Penso que a 
>>>> sinalização GRE
>>>> deveria ser suficiente para um troubleshooting.
>>>>
>>>> Att,
>>>> Ricardo Tavares
>>>>
>>>> On Mon, Mar 1, 2021 at 11:16 AM Andre Almeida <andre at bnet.com.br> 
>>>> wrote:
>>>>
>>>>> Mas se eu fizer mirroring da porta que chega o túnel, acho que o 
>>>>> efeito
>>>>> será o mesmo do flow, ou seja, vou só conseguir capturar os pacotes
>>>>> encapsulados no GRE
>>>>> Estou errado?
>>>>>
>>>>> Att,
>>>>>
>>>>> Andre
>>>>>
>>>>>
>>>>> Em seg., 1 de mar. de 2021 às 11:12, mestre pô <curupas at gmail.com>
>>>>> escreveu:
>>>>>
>>>>>> Bom dia,
>>>>>>
>>>>>> Já tentou mirroring da porta onde chega o túnel para uma outra porta
>>> onde
>>>>>> exista uma máquina com wireshark?
>>>>>>
>>>>>> Att,
>>>>>> Ricardo Tavares
>>>>>>
>>>>>> On Fri, Feb 26, 2021 at 5:02 PM Andre Almeida <andre at bnet.com.br>
>>> wrote:
>>>>>>> Fala pessoal, blz?
>>>>>>>
>>>>>>> Alguém tem alguma ideia de como eu posso fazer uma análise de um
>>>>> tráfego
>>>>>>> que vem por um tunel gre ? Já que o Huawei não permite 
>>>>>>> exportação de
>>>>> flow
>>>>>>> dessas interfaces?
>>>>>>>
>>>>>>> Obrigado!
>>>>>>>
>>>>>>> Andre
>>>>>>> -- 
>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>>
>>>>>> -- 
>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>
>>>>> -- 
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>
>>>> -- 
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>> -- 
>>> *Fred Pedrisa - CEO/CTO*
>>> HyperFilter DDoS Protection Solutions <https://www.hyperfilter.com>
>>> A FNXTEC, Company.
>>> *Mobile:* +55 (11) 97177-7000
>>> -- 
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>> -- 
>> gter list    https://eng.registro.br/mailman/listinfo/gter




More information about the gter mailing list