olegarhiy

Павел, спасибо большущее! В последней версии с гита сети разбаниваются корректно:

Совсем беда: В networks_list прописаны сети /24. Еще важное замечание: fastnetmon передает неправильный "withdraw"! Т.е. без next-hop и community! Exabgp версии 2.0.7 ругается, т.к. ей до этого передали "announce" маршрут с next-hop и community! НЕ надо использовать exabgp из системных пакетов на Debian (устаревшая версия, которая требует next-hop и community). Правильно: pip install exabgp (версия 3.4.11 не требует next-hop и community для операции "withdraw").

Обновился до последней, т.к. исходники прежние удалил. Проблема осталась. git show HEAD

Павел, странный баг. Вместо того, чтобы "разбанить" нужную сеть после "атаки" вижу следующее в логах exabgp: В логе fastnetmon увидел следующее: В бан fastnetmon передал exabgp маршрут правильный, а вот удалить его не смог корректно.

Ух, как сложно то все :) Еще бы неплохо научиться мониторить оба типа трафика (входящий/исходящий), но при этом оставлять возможность выбора по какому из них банить. Т.е. я не вижу практического смысла банить на основании показателей исходящего трафика, но для анализа каких-либо проблем знать их очень полезно. Настроил graphite - я в восторге! Работать с данными по трафику так легко ещё не было никогда :) Спасибо большое! Хороших выходных :)

Павел, действительно! :) Прописал в networks_list и банить перестало по глобальным критериям. Но необходимость указания в networks_list исключает возможность анонсирования самой сети вместо хоста ;) Опять наступил на грабельки с "on" - "yes", "off" - "no". Я пока до сих пор не могу уловить логику в каких параметрах какой указывать. Т.е. вышестоящий код не заработал в плане бана, т.е. вообще перестало банить, т.к. требовалось указать "on" вместо "yes". По-умолчанию все выставлено в "no" :) Т.е. рабочий конфиг: # We could create group of hosts with non standard thresholds # You should create this groups before (in configuration file) specifying any limits #hostgroup = my_hosts:10.10.10.221/32,10.10.10.222/32 hostgroup = my_hosts:10.11.12.13/32 # Configure this group my_hosts_enable_ban = yes my_hosts_ban_for_pps = on my_hosts_ban_for_bandwidth = on my_hosts_ban_for_flows = on my_hosts_threshold_pps = 50000 my_hosts_threshold_mbps = 1000 my_hosts_threshold_flows = 53500 Лимит сообщений на сегодня у меня закончился. Найти ошибку в конфигурации между "on" и "no" тяжеловато ;) А учитывая, что ещё возможны варианты с off и yes, траблшутинг может затянуться надолго :) Фичи могут просто "потеряться", т.к. вводят в эксплуатацию одни специалисты, а непосредственно эксплуатацией могут заниматься уже другие.

Код актуальный. # We could create group of hosts with non standard thresholds # You should create this groups before (in configuration file) specifying any limits #hostgroup = my_hosts:10.10.10.221/32,10.10.10.222/32 hostgroup = my_hosts:10.11.12.13/32 # Configure this group my_hosts_enable_ban = yes my_hosts_ban_for_pps = yes my_hosts_ban_for_bandwidth = yes my_hosts_ban_for_flows = yes my_hosts_threshold_pps = 50000 my_hosts_threshold_mbps = 1000 my_hosts_threshold_flows = 53500

Павел, спасибо! Полезная фича, т.к. есть "особенные" хосты в сети :) Но у меня сходу не заработала. Добавил в группу "my_hosts" хост, который банить по глобальным критериям не надо, но все равно банит.

Неочень прозрачно (поправив версию branch c 1.1.2 на 1.1.3 в инсталляционном скрипте), но обновился до 1.1.3. Здесь действительно усреднение в клиенте работает. Не так как хотелось бы, но подозреваю, что с данными, которые получаем дискретно, лучше не получится :) Теперь не просто пик один раз в 60 сек и потом в течение 59 секунд счетчик по нулям, а действительно текущее среднее значение за 60 сек и плавное снижение до 50% :) Учитывая, что важны порядки значений, то вполне приемлемо. Подумаю на досуге над этой математической задачкой. Павел, спасибо большое за Fastnetmon! Классный проект и уверен у него большое будущее! Будет очень классно, если научиться совместно с ExaBGP научится синхронизировать информацию о маршрутах. Иначе в случае падения Fastnetmon они просто "залипают" в exabgp и наоборот.

Спасибо :) Версия (branch) 1.1.2. Только что обновился, но ничего не изменилось (устанавливаю с помощью fastnetmon_install.pl на Debian Wheezy). Отмечу, что версия в клиенте отображается как "FastNetMon v1.0".

Приветствую :) Павел, при решении своей маленькой задачки организации реакции на DDoS я столкнулся с тем, что при использовании клиента информация по каждому IP адресу или сети выводится на основе сию секундных данных. Т.е. если я использую Netflow данные с маршрутизаторов Cisco, где минимальный timeout для активной сессии составляет 60 сек (т.е. раз в 60 секунд маршрутизатор отсылает данные об активной сессии), то в момент когда fastnetmon получает эти данные он вычисляет не "чистый" pps, т.е. количество пакетов за 1 секунду, а количество пакетов за 60 сек. Это вводит в заблуждение, т.к. в течение 59 секунд загрузка нулевая, а на 60 секунде в 60 раз больше фактической. Очевидно, что fastnetmon не может знать с какой частотой информацию о сессиях ему посылает Netflow сенсор, поэтому и ведет себя так, т.е. основываясь на сию секундных данных. Для реакции ("бана") есть решение, которое позволяет усреднить и тем самым корректно обсчитывать данные: average_calculation_time = 60 average_calculation_time_for_subnets = 65 А вот для вычислением среднего текущего сетевого трафика в клиентской части приложения, увы, такого решения я не нашел. Было бы здорово, если при выставлении параметра, отвечающего за частоту обновления отображаемой информации в клиентской части приложения, мы сразу бы получали усредненные значения (т.е. каждые 60 сек выводим данные усредненные за 60 сек): # How often we redraw client's screen check_period = 60 Но в идеале, конечно, было бы здорово частоту обновления показателей регулировать отдельно от периода времени, за который мы хотим получать средние значения. Павел, как думаешь, возможно удовлетворить такую прихоть? :)