martin74

Продается Ericsson (Redback) SE-100 в комплекте (шасси, 2 модуля на 2 1000Base-X) Оборудование полностью в рабочем состоянии. г. Ростов-на-Дону. Обращаться в личку или zedeguth@gmail.com Цена 98000 р.

Продается Ericsson (Redback) SE-100 в комплекте (шасси, 2 модуля на 2 1000Base-X) Оборудование полностью в рабочем состоянии. г. Ростов-на-Дону. Обращаться в личку или zedeguth@gmail.com Цена 98000 р.

Продается Ericsson (Redback) SE-100 в комплекте (шасси, 2 модуля на 2 1000Base-X) Оборудование полностью в рабочем состоянии. г. Ростов-на-Дону. Обращаться в личку или zedeguth@gmail.com Цена 109000 р.

Продается Ericsson (Redback) SE-100 в комплекте (шасси, 2 модуля на 2 1000Base-X) Оборудование полностью в рабочем состоянии. г. Ростов-на-Дону. Обращаться в личку или zedeguth@gmail.com Цена 119000 р.

Продается Ericsson (Redback) SE-100 в комплекте (шасси, 2 модуля на 2 1000Base-X) Оборудование полностью в рабочем состоянии. г. Ростов-на-Дону. Обращаться в личку или zedeguth@gmail.com Цена 129000 р.

Продается 2 шт Ericsson (Redback) SE-100 в комплекте (шасси, 2 модуля на 2 1000Base-X) Оборудование полностью в рабочем состоянии. г. Ростов-на-Дону. Обращаться в личку или zedeguth@gmail.com Цена 134000 р.

Продается 3 шт Ericsson (Redback) SE-100 в комплекте (шасси, 2 модуля на 2 1000Base-X) Оборудование полностью в рабочем состоянии. г. Ростов-на-Дону. Обращаться в личку или zedeguth@gmail.com Цена 138000 р.

ап

Продается 3 шт Ericsson (Redback) SE-100 в комплекте (шасси, 2 модуля на 2 1000Base-X) Оборудование полностью в рабочем состоянии. г. Ростов-на-Дону. Обращаться в личку или zedeguth@gmail.com Цена 153000 р.

Продается 3 шт Ericsson (Redback) SE-100 в комплекте (шасси, 2 модуля на 2 1000Base-X) Оборудование полностью в рабочем состоянии. г. Ростов-на-Дону. Обращаться в личку или zedeguth@gmail.com Цена 160000 р.

Ок, понятно. FNM заработал, показывает в принципе правдоподобные цифры. Но периодически он реагирует на трафик с некоторых ип. Выглядит это. как будто пришел flow, в котором абонент качал что-то например торрентом. И вот flow закончился, пришел на FNM, и в нем написано, что абонент скачал 300М. FNM почему то решает, что это вот произошло прям щас и утверждает что это атака. Ну скорее всего это связано с тем, что снимаем инфу по j-flow.. В принципе на это можно не обращать внимание - пусть лучше перебдит, чем не заметит реальную атаку. В логах тем не менее шлет вот это: 2017-08-14 12:17:30,151 [iNFO] We don't have a template for flowset_id: 512 but it's not an error if this message disappears in 5-10 seco nds. We need some time to learn it! Работает без перезапусков уже 4 суток. Шлет все равно ;) Чего ему надо то?

Увеличение average_calculation_time до 60 решило проблему. По крайней мере цифры стали гораздо больше походить на реальность ;) А сколько времени теперь fnm понадобится на детект атаки? Есть какая то зависимость между average_calculation_time и временем реакции?

И снова здравствуйте. У меня сменился бордер, теперь это MX-960, и вот, пытаемся подружить с FNM. Миррор к сожалению не заработал пока, но мы еще подумаем в эту сторону. Взяли пример из документации, как принимать по j-flow. Со стороны джунипера - конфиг как в примере, я имею в виду таймауты, задержки и иже с ним. Вот конфиг fnm: И что то оно мне цифры какие то не совсем вменяемые показывает. В основном показывает до 20к pps на адрес, но часто ловит атаку на 90к pps, на 120к pps.... Причем я точно знаю, что адрес - принадлежит клиенту. И там какой нить среднестатистический tp-link с парой компов и парой смартов за ним. Это он (fnm) серьезно? Или мне что то подкрутить надо? И если вдруг найдется спец, который расскажет, как на джуне миррор все таки настроить....

Спасибо, так заработало. А отметьте это в документации, что ли. А то не совсем логичное поведение ;)

Не понял. Давайте на пальцах. Есть у меня следующие сети в networks_list 10.10.10.0/24 10.10.20.0/24 10.10.30.0/24 и мне надо отдельный 10.10.10.10/32 выделить в отдельную группу. Что и куда мне надо дописать?

Сконфигурил группу вот так: # cat /etc/fastnetmon.conf | grep dimoogle hostgroup = dimoogle:X.X.X.X/32 dimoogle_enable_ban = on dimoogle_ban_for_pps = on dimoogle_ban_for_bandwidth = on dimoogle_ban_for_flows = off dimoogle_threshold_pps = 100000 dimoogle_threshold_mbps = 1000 dimoogle_threshold_flows = 3500 т.е. явно задал повышенные параметры. Бан наступил на общей отметке в 70к Что я делаю неправильно?

Добрый день. Расскажите, что я не понимаю о группах ;) Имеем fnm, установленный на хостере. Описал в /etc/networks_list все свои сети, настроил mirror, все работает. Есть один сервер, который генерит значительно большую полосу трафика. Если для всех хостов лимит в 50к pps является нормальным, то этот периодически до 80к доходит. Ок, выделяем его в отдельную группу, этой группе выключаем бан. Рестартую фнм. Он в логе говорит, что видит группу, и все равно банит. 2017-07-17 16:12:06,493 [WARN] We add subnet X.X.X.X/32 to host group dimoogle 2017-07-17 16:12:06,493 [iNFO] We have created host group dimoogle with 1 subnets ... ... 2017-07-17 20:06:25,955 [iNFO] We run execute_ip_ban code with following params in_pps: 31821 out_pps: 70416 in_bps: 2024459 out_bps: 120949368 and we decide it's outgoing attack 2017-07-17 20:06:25,955 [iNFO] Attack with direction: outgoing IP: X.X.X.X Power: 70416 2017-07-17 20:06:25,955 [iNFO] Call script for ban client: X.X.X.X 2017-07-17 20:06:25,955 [iNFO] Script for ban client is finished: X.X.X.X 2017-07-17 20:06:25,955 [iNFO] Call ExaBGP for ban client started: X.X.X.X Под X.X.X.X скрывается один и тот же адрес, гарантирую. Вот выдержка из конфига: # cat /etc/fastnetmon.conf | grep dimoogle hostgroup = dimoogle:X.X.X.X/32 dimoogle_enable_ban = off

Небольшая непонятка. Есть fastnetmon запущенный в режиме mirror. Включен 10Г портом в cisco 4500, на порт миррорится трафик с трех 10Г портов аплинков. Суммарно вижу 3Г входящего и 500М исходящего трафика на графиках портов. IPs ordered by: packets Incoming traffic 142576 pps 334 mbps 0 flows Outgoing traffic 131192 pps 1798 mbps 0 flows Internal traffic 0 pps 0 mbps Other traffic 930680 pps 4129 mbps Screen updated in: 0 sec 648 microseconds Traffic calculated in: 0 sec 3672 microseconds Total amount of IPv6 packets related to our own network: 0 Not processed packets: 0 pps Packets received: 6662887658 Packets dropped: 80008614 Packets dropped: 1.2 % Смотрю на эти цифры - и не понимаю. Что такое other traffic? Сейчас в /etc/networks_list описаны только ipv4 сети, ipv6 не описывал. Но все равно цифры не совпадают. Что я сделал неправильно?

А вообще отвечают? ;)

А скрытый раздел по джуну еще есть? Сегодня написал на juniper@nag.ru вопрос, как туда попасть - и тишина в ответ...

Поправили настройки нетфлоу на кошке, заработало.

Получилось что то такое. Значит netflow неправильно сформировано? 2017-01-26 07:44:42,057 [iNFO] Logger initialized! 2017-01-26 07:44:42,058 [WARN] We add subnet 10.10.10.221/32 to host group my_hosts 2017-01-26 07:44:42,058 [WARN] We add subnet 10.10.10.222/32 to host group my_hosts 2017-01-26 07:44:42,058 [iNFO] We have created host group my_hosts with 2 subnets 2017-01-26 07:44:42,058 [iNFO] We will read ban settings for my_hosts 2017-01-26 07:44:42,058 [ERROR] We can't find notify script /usr/local/bin/notify_about_attack.sh 2017-01-26 07:44:42,061 [iNFO] Read configuration file 2017-01-26 07:44:42,062 [iNFO] We loaded 5 networks from networks file 2017-01-26 07:44:42,062 [iNFO] Totally we have 5 IPv4 subnets 2017-01-26 07:44:42,062 [iNFO] Totally we have 0 IPv6 subnets 2017-01-26 07:44:42,062 [iNFO] Total number of monitored hosts (total size of all networks): 17920 2017-01-26 07:44:42,062 [iNFO] We need 10 MB of memory for storing counters for your networks 2017-01-26 07:44:42,062 [iNFO] I will allocate 4096 records for subnet 2137694 cidr mask: 20 2017-01-26 07:44:42,066 [iNFO] I will allocate 4096 records for subnet 11562416 cidr mask: 20 2017-01-26 07:44:42,069 [iNFO] I will allocate 8192 records for subnet 14708144 cidr mask: 19 2017-01-26 07:44:42,077 [iNFO] I will allocate 1024 records for subnet 9183673 cidr mask: 22 2017-01-26 07:44:42,077 [iNFO] I will allocate 512 records for subnet 2408641 cidr mask: 23 2017-01-26 07:44:42,077 [iNFO] We start total zerofication of counters 2017-01-26 07:44:42,078 [iNFO] We finished zerofication 2017-01-26 07:44:42,078 [iNFO] We loaded 5 IPv4 subnets to our in-memory list of networks 2017-01-26 07:44:42,078 [iNFO] Run banlist cleanup thread, we will awake every 60 seconds 2017-01-26 07:44:42,078 [iNFO] netflow plugin started 2017-01-26 07:44:42,078 [iNFO] netflow: We will listen on 1 ports 2017-01-26 07:44:42,078 [iNFO] netflow plugin will listen on 10.0.0.20:2055 udp port 2017-01-26 07:44:42,242 [iNFO] Dump: 2017-01-26 07:44:42.240984852 146.66.156.196:27030 > 94.158.37.129:9692 protocol: udp frag: 0 packets: 0 size: 0 bytes ttl: 0 sample ratio: 1 2017-01-26 07:44:42,242 [iNFO] Dump: 2017-01-26 07:44:42.240984852 183.87.48.193:2599 > 193.192.37.3:51413 protocol: tcp flags: - frag: 0 packets: 0 size: 0 bytes ttl: 0 sample ratio: 1 2017-01-26 07:44:42,242 [iNFO] Dump: 2017-01-26 07:44:42.240984852 185.38.12.37:80 > 94.158.32.204:4475 protocol: tcp flags: - frag: 0 packets: 0 size: 0 bytes ttl: 0 sample ratio: 1 2017-01-26 07:44:42,242 [iNFO] Dump: 2017-01-26 07:44:42.240984852 216.147.182.212:31608 > 94.158.35.27:17922 protocol: udp frag: 0 packets: 0 size: 0 bytes ttl: 0 sample ratio: 1 2017-01-26 07:44:42,242 [iNFO] Dump: 2017-01-26 07:44:42.240984852 91.221.248.21:63916 > 94.158.43.45:49412 protocol: udp frag: 0 packets: 0 size: 0 bytes ttl: 0 sample ratio: 1

Добрый день. Поставил fastnetmon в режиме приема трафика по нетфлоу. Нетфлоу отдает CISCO 4510. Отдает точно - если вместо fastnetmon подставить flow-capture - то нетфлоу пишется в файл. А fastnetmon ничего не видит. Centos 7. Куда копать? Версия из гита. Вот конфиг: logging:local_syslog_logging = off logging:remote_syslog_logging = off logging:remote_syslog_server = 10.10.10.10 logging:remote_syslog_port = 514 enable_ban = off process_incoming_traffic = on process_outgoing_traffic = off ban_details_records_count = 500 ban_time = 1900 unban_only_if_attack_finished = on enable_subnet_counters = on networks_list_path = /etc/networks_list white_list_path = /etc/networks_whitelist check_period = 1 enable_connection_tracking = off ban_for_pps = on ban_for_bandwidth = on ban_for_flows = on threshold_pps = 20000 threshold_mbps = 1000 threshold_flows = 3500 threshold_tcp_mbps = 100000 threshold_udp_mbps = 100000 threshold_icmp_mbps = 100000 threshold_tcp_pps = 100000 threshold_udp_pps = 100000 threshold_icmp_pps = 100000 ban_for_tcp_bandwidth = off ban_for_udp_bandwidth = off ban_for_icmp_bandwidth = off ban_for_tcp_pps = off ban_for_udp_pps = off ban_for_icmp_pps = off mirror = off pfring_sampling_ratio = 1 mirror_netmap = off mirror_snabbswitch = off mirror_afpacket = off interfaces = enp6s0f1 netmap_sampling_ratio = 1 netmap_read_packet_length_from_ip_header = off pcap = off netflow = on sflow = off enable_pf_ring_zc_mode = off interfaces = enp6s0f1,enp7s0 average_calculation_time = 60 average_calculation_time_for_subnets = 60 netflow_port = 2055 netflow_host = 10.0.0.20 netflow_sampling_ratio = 1 netflow_divide_counters_on_interval_length = on sflow_port = 6343 sflow_host = 0.0.0.0 notify_script_path = /usr/local/bin/notify_about_attack.sh notify_script_pass_details = on collect_attack_pcap_dumps = on process_pcap_attack_dumps_with_dpi = off redis_enabled = off redis_port = 6379 redis_host = 127.0.0.1 redis_prefix = mydc1 mongodb_enabled = off mongodb_host = localhost mongodb_port = 27017 mongodb_database_name = fastnetmon pfring_hardware_filters_enabled = off exabgp = off exabgp_command_pipe = /var/run/exabgp.cmd exabgp_community = 65001:666 exabgp_next_hop = 10.0.3.114 exabgp_announce_host = on exabgp_announce_whole_subnet = off exabgp_flow_spec_announces = off gobgp = off gobgp_next_hop = 0.0.0.0 gobgp_announce_host = on gobgp_announce_whole_subnet = off graphite = off graphite_host = 127.0.0.1 graphite_port = 2003 graphite_prefix = fastnetmon monitor_local_ip_addresses = off hostgroup = my_hosts:10.10.10.221/32,10.10.10.222/32 my_hosts_enable_ban = off my_hosts_ban_for_pps = off my_hosts_ban_for_bandwidth = off my_hosts_ban_for_flows = off my_hosts_threshold_pps = 20000 my_hosts_threshold_mbps = 1000 my_hosts_threshold_flows = 3500 pid_path = /var/run/fastnetmon.pid cli_stats_file_path = /tmp/fastnetmon.dat enable_api = off sort_parameter = packets max_ips_in_list = 7

Добрый день. Народ, а какие аккумуляторы вы используете в своей работе? Интересуют аккумуляторы для домовых\квартальных узлов, аккумуляторы в серверную...

Народ, если кто использовал данный свич - расскажите свои впечатления. Стабильность работы, быстродействие, устойчивость к нагрузке, насколько правда в тех описании....