Перейти к содержимому
Калькуляторы

olegarhiy

Пользователи
  • Публикации

    11
  • Зарегистрирован

  • Посещение

О olegarhiy

  • Звание
    Абитуриент
  1. Павел, спасибо большущее! В последней версии с гита сети разбаниваются корректно:
  2. Совсем беда: В networks_list прописаны сети /24. Еще важное замечание: fastnetmon передает неправильный "withdraw"! Т.е. без next-hop и community! Exabgp версии 2.0.7 ругается, т.к. ей до этого передали "announce" маршрут с next-hop и community! НЕ надо использовать exabgp из системных пакетов на Debian (устаревшая версия, которая требует next-hop и community). Правильно: pip install exabgp (версия 3.4.11 не требует next-hop и community для операции "withdraw").
  3. Обновился до последней, т.к. исходники прежние удалил. Проблема осталась. git show HEAD
  4. Павел, странный баг. Вместо того, чтобы "разбанить" нужную сеть после "атаки" вижу следующее в логах exabgp: В логе fastnetmon увидел следующее: В бан fastnetmon передал exabgp маршрут правильный, а вот удалить его не смог корректно.
  5. Ух, как сложно то все :) Еще бы неплохо научиться мониторить оба типа трафика (входящий/исходящий), но при этом оставлять возможность выбора по какому из них банить. Т.е. я не вижу практического смысла банить на основании показателей исходящего трафика, но для анализа каких-либо проблем знать их очень полезно. Настроил graphite - я в восторге! Работать с данными по трафику так легко ещё не было никогда :) Спасибо большое! Хороших выходных :)
  6. Павел, действительно! :) Прописал в networks_list и банить перестало по глобальным критериям. Но необходимость указания в networks_list исключает возможность анонсирования самой сети вместо хоста ;) Опять наступил на грабельки с "on" - "yes", "off" - "no". Я пока до сих пор не могу уловить логику в каких параметрах какой указывать. Т.е. вышестоящий код не заработал в плане бана, т.е. вообще перестало банить, т.к. требовалось указать "on" вместо "yes". По-умолчанию все выставлено в "no" :) Т.е. рабочий конфиг: # We could create group of hosts with non standard thresholds # You should create this groups before (in configuration file) specifying any limits #hostgroup = my_hosts:10.10.10.221/32,10.10.10.222/32 hostgroup = my_hosts:10.11.12.13/32 # Configure this group my_hosts_enable_ban = yes my_hosts_ban_for_pps = on my_hosts_ban_for_bandwidth = on my_hosts_ban_for_flows = on my_hosts_threshold_pps = 50000 my_hosts_threshold_mbps = 1000 my_hosts_threshold_flows = 53500 Лимит сообщений на сегодня у меня закончился. Найти ошибку в конфигурации между "on" и "no" тяжеловато ;) А учитывая, что ещё возможны варианты с off и yes, траблшутинг может затянуться надолго :) Фичи могут просто "потеряться", т.к. вводят в эксплуатацию одни специалисты, а непосредственно эксплуатацией могут заниматься уже другие.
  7. Код актуальный. # We could create group of hosts with non standard thresholds # You should create this groups before (in configuration file) specifying any limits #hostgroup = my_hosts:10.10.10.221/32,10.10.10.222/32 hostgroup = my_hosts:10.11.12.13/32 # Configure this group my_hosts_enable_ban = yes my_hosts_ban_for_pps = yes my_hosts_ban_for_bandwidth = yes my_hosts_ban_for_flows = yes my_hosts_threshold_pps = 50000 my_hosts_threshold_mbps = 1000 my_hosts_threshold_flows = 53500
  8. Павел, спасибо! Полезная фича, т.к. есть "особенные" хосты в сети :) Но у меня сходу не заработала. Добавил в группу "my_hosts" хост, который банить по глобальным критериям не надо, но все равно банит.
  9. Неочень прозрачно (поправив версию branch c 1.1.2 на 1.1.3 в инсталляционном скрипте), но обновился до 1.1.3. Здесь действительно усреднение в клиенте работает. Не так как хотелось бы, но подозреваю, что с данными, которые получаем дискретно, лучше не получится :) Теперь не просто пик один раз в 60 сек и потом в течение 59 секунд счетчик по нулям, а действительно текущее среднее значение за 60 сек и плавное снижение до 50% :) Учитывая, что важны порядки значений, то вполне приемлемо. Подумаю на досуге над этой математической задачкой. Павел, спасибо большое за Fastnetmon! Классный проект и уверен у него большое будущее! Будет очень классно, если научиться совместно с ExaBGP научится синхронизировать информацию о маршрутах. Иначе в случае падения Fastnetmon они просто "залипают" в exabgp и наоборот.
  10. Спасибо :) Версия (branch) 1.1.2. Только что обновился, но ничего не изменилось (устанавливаю с помощью fastnetmon_install.pl на Debian Wheezy). Отмечу, что версия в клиенте отображается как "FastNetMon v1.0".
  11. Приветствую :) Павел, при решении своей маленькой задачки организации реакции на DDoS я столкнулся с тем, что при использовании клиента информация по каждому IP адресу или сети выводится на основе сию секундных данных. Т.е. если я использую Netflow данные с маршрутизаторов Cisco, где минимальный timeout для активной сессии составляет 60 сек (т.е. раз в 60 секунд маршрутизатор отсылает данные об активной сессии), то в момент когда fastnetmon получает эти данные он вычисляет не "чистый" pps, т.е. количество пакетов за 1 секунду, а количество пакетов за 60 сек. Это вводит в заблуждение, т.к. в течение 59 секунд загрузка нулевая, а на 60 секунде в 60 раз больше фактической. Очевидно, что fastnetmon не может знать с какой частотой информацию о сессиях ему посылает Netflow сенсор, поэтому и ведет себя так, т.е. основываясь на сию секундных данных. Для реакции ("бана") есть решение, которое позволяет усреднить и тем самым корректно обсчитывать данные: average_calculation_time = 60 average_calculation_time_for_subnets = 65 А вот для вычислением среднего текущего сетевого трафика в клиентской части приложения, увы, такого решения я не нашел. Было бы здорово, если при выставлении параметра, отвечающего за частоту обновления отображаемой информации в клиентской части приложения, мы сразу бы получали усредненные значения (т.е. каждые 60 сек выводим данные усредненные за 60 сек): # How often we redraw client's screen check_period = 60 Но в идеале, конечно, было бы здорово частоту обновления показателей регулировать отдельно от периода времени, за который мы хотим получать средние значения. Павел, как думаешь, возможно удовлетворить такую прихоть? :)