infostabil > edb.* > edb.netvaerk.stort

Kim Sønderup (20.11.2014, 20:07)
Jeg søger lidt hjælp/vejledning til noget udstyr/software til at automatsik
at null route en ip når trafikken overstiger x antal mbps eller gbps, som
følge af en server ip bliver ddos/syn angrebet.

Da vi pt. køre med en cisco 4503 med BGP samt muligheden for at Null route
vores egne IPer helt ud i vores udbyders net, og ikke ønsker at sidde online
24/7/365 og manuelt åbne og lukke IP der bliver angrebet
Sonny T. Larsen (20.11.2014, 23:29)
On Thu, 20 Nov 2014 19:07:42 +0100, Kim Sønderup wrote:

> Jeg søger lidt hjælp/vejledning til noget udstyr/software til at automatsik
> at null route en ip når trafikken overstiger x antal mbps eller gbps, som
> følge af en server ip bliver ddos/syn angrebet.
> Da vi pt. køre med en cisco 4503 med BGP samt muligheden for at Null route
> vores egne IPer helt ud i vores udbyders net, og ikke ønsker at sidde online
> 24/7/365 og manuelt åbne og lukke IP der bliver angrebet


Udstyr til den slags fra f.eks Arbor, koster ganske meget. I dit sted ville jeg
scripte noget automagi selv.

Et script der overvåger trafikken (via SNMP eller netflow, f.eks) og så en BGPd,
der injecter en route (dvs. som RTBH).
Sonny T. Larsen (21.11.2014, 00:43)
On 20 Nov 2014 21:29:45 GMT, Sonny T. Larsen wrote:

> Et script der overvåger trafikken (via SNMP eller netflow, f.eks) og så
>en BGPd, der injecter en route (dvs. som RTBH).


Du kan sikkert enten bruge eller finde inspiration i fastnetmon (github).

Pavel, der har skrevet fastnetmon, skriver dog:

"NetFlow based solutions is so slow and can't react on atatck with
acceptable speed."

Det mener jeg ikke, han har ret i, men det gør jo ikke nødvendigvis
fastnetmon ringere.
Thomas Kjær (24.11.2014, 07:20)
On 2014-11-20, Sonny T. Larsen <sonny> wrote:
> "NetFlow based solutions is so slow and can't react on atatck with
> acceptable speed."
> Det mener jeg ikke, han har ret i, men det gør jo ikke nødvendigvis
> fastnetmon ringere.


Netflow kan efter min mening også være hurtigt "nok". Men ellers kan man
jo lave en SPAN port over i en hurtig maskine og derved opnå
reaktionstider i stil med inline appliances.
Kim Sønderup (24.11.2014, 21:36)
Har muligheden for at købe Cisco WS-F4531 Netflow Service module for
Catalyst 4500 til ca. 1100 dk via ebay, så vil du uddybe det lidt mere med
løsningen af at benytte "SPAN port" ?

"Thomas Kjær" <tk> skrev i meddelelsen
news:idd1
[..]
Sonny T. Larsen (24.11.2014, 22:01)
On Mon, 24 Nov 2014 20:36:53 +0100, Kim Sønderup wrote:

> Har muligheden for at købe Cisco WS-F4531 Netflow Service module for
> Catalyst 4500 til ca. 1100 dk via ebay, så vil du uddybe det lidt mere med
> løsningen af at benytte "SPAN port" ?


Vil du ikke nok lade være med at skrive oven over det, du citerer?

Hvis du vil lave en SPAN-port, har du ikke så meget at bruge netflow til.

Med en SPAN-port kan du jo blot lade f.eks fastnetmon eller lignende software
kigge direkte på din trafik.

Jeg ved ikke, hvilken supervisor du har, men med nogenlunde nye sups behøver
du ikke et ekstra kort for at få netflow (Sup V-10GE eller nyere).
Kim Sønderup (25.11.2014, 00:31)
"Sonny T. Larsen" <sonny> skrev i meddelelsen
news:onny
> On Mon, 24 Nov 2014 20:36:53 +0100, Kim Sønderup wrote:


> Vil du ikke nok lade være med at skrive oven over det, du citerer?
> Hvis du vil lave en SPAN-port, har du ikke så meget at bruge netflow til.
> Med en SPAN-port kan du jo blot lade f.eks fastnetmon eller lignende
> software
> kigge direkte på din trafik.
> Jeg ved ikke, hvilken supervisor du har, men med nogenlunde nye sups
> behøver
> du ikke et ekstra kort for at få netflow (Sup V-10GE eller nyere).


her er specs på den 4503

WS-C4503 Chassis Fan Tray 2 x PSU 1000W

WS-X4515 Supervisor Engine IV incl. 2 xGBIC-Slot

WS-X4448-GB-RJ45 48 x Gigabit 10/100/1000

WS-X4306-GB 6 x GBIC-Slot

inclusive

8x GBIC WS-G5484

1000BASE-SX

2 x Netzkabel

Rack Mount Kit
Sonny T. Larsen (25.11.2014, 12:28)
On Mon, 24 Nov 2014 23:31:54 +0100, Kim Sønderup wrote:

> WS-X4515 Supervisor Engine IV incl. 2 xGBIC-Slot


Den er jo ikke helt ny (End-of-Sale i 2010), men den kan lave SPAN-porte.

Jeg ville nok lave en SPAN-port, og bruge f.eks fastnetmon til at kigge
på den trafik, den port så giver.

Hvis du vil bruge NetFlow-kortet skal du alligevel have fat på noget,
der kan analysere dine flowdata (collector og analyzer).
Lignende emner