Jump to content
Калькуляторы

Готовы ли Вы передать sFLOW/NetFlow Вашей сети третьей стороне?

Всем привет!

 

Возник вот такой интересный вопрос озвученный в сабже :) Суть задачи - передать свою телеметрию в виде sFLOW/NetFlow внешней компании "в облако" для последующего анализа и предоставления каких-либо приятных фич как - выявление DDoS атак, выявление проблем с безопасностью, повышение общей видимости сети и анализ трафика.

 

// Изаначально тема была создана в сетях, но в связи с политическим характером перенесена сюда

Share this post


Link to post
Share on other sites

расстреливать таких провайдеров. Одни гомосеки рекламщикам трафик зеркалируют, другие банеры вставляют, ростелеком редирект на рекламную страницу делает.

Share this post


Link to post
Share on other sites

Ну вот в том и вопрос, что куча контор юзает http://imarker.ru и СОРМ и отдает самое дорогое и насущное со всей приватщиной (в нешифрованном виде) абсолютно мутным конторам.

 

А почти полностью обезличенные Netflow (на какой толку из них можно извлечь? Где там номера кредитных карт?) боятся. Даже sFLOW может быть обрезан чтобы не содержать отпечатков пакетов.

Share this post


Link to post
Share on other sites

Мутная контора, получающая netflow, сможет сливать инфу конкурентам, например, о размере абон.базы и количестве трафика,

а конкурент сможет использовать это в своих целях, например мониторить, есть ли отток абонентов в результате рекламной компании,

или даже так "провадер УГ имеет канал всего 1 мбит на абонента, у нас вы получите столько за сколько заплатили".

 

Еще идея - выбрать самых богатых абонентов (по тарифному плану=жирному каналу) и окучить их персонально,

но нужно уметь "вычислять по IP" :)

Share this post


Link to post
Share on other sites

да ну как вычислить размер абон базы если телеметрия снимается с аплинка который стоит после NAT? 250 айпи с тонной клиентов?

 

Ну ок, хорошо, а если будет договор о гарантиях неразглашения?

Share this post


Link to post
Share on other sites

да ну как вычислить размер абон базы если телеметрия снимается с аплинка который стоит после NAT? 250 айпи с тонной клиентов?

Я подозреваю, что тогда и

последующего анализа и предоставления каких-либо приятных фич как - выявление DDoS атак, выявление проблем с безопасностью, повышение общей видимости сети и анализ трафика.

не получится.

Share this post


Link to post
Share on other sites

Почему же? Понять куда идет трафик (с кем стоит попирится, чьи кэши поставить), откуда, какие протоколы, где какие проблемы на магистралях (ретранзмиты, латенси) - разве бесполезная инфа?

Edited by pavel.odintsov

Share this post


Link to post
Share on other sites

Почему же? Понять куда идет трафик (с кем стоит попирится, чьи кэши поставить), откуда, какие протоколы, где какие проблемы на магистралях (ретранзмиты, латенси) - разве бесполезная инфа?

Вот правильно Вы на СКАТ смотрите. Сливаете статистику с него на свой сервер и парвая часть у Вас в кармане. С ретрансмитами, правда, оно не поможет. Как, впрочем, и нетфлоу.

Share this post


Link to post
Share on other sites

Скат - это оборудование, за ним нужно следить/обновлять. Итд итп, я просто не уверен, что через месяц я настрою все аплинки/пиринг итд итп и эта статистика мне станет не нужна. А железка - куплена. Отсюда и желание чего-то в классе SaaS.

Share this post


Link to post
Share on other sites

:-) Когда задают такие вопросы на форуме проффесиональных параноиков, какие ответы надеются получить ?

Share this post


Link to post
Share on other sites

Ну вот. Итак, это просто фобия операторов? Я сейчас специально полтора часа смотрел на свой NetFLOW IPFIX в коллекторе и пытался найти там какие-то данные которые позволят компрометировать сеть или как-то повредить клиенту. ОК, если IP - ценность, можно сделать аггрегацию сетей и портов, тогда все будет прилетать в сильно пожатом виде с минимумом приватной информации.

Share this post


Link to post
Share on other sites

Ну вот. Итак, это просто фобия операторов?

Чего пристали, вполне нормальная здоровая паранойя.

Share this post


Link to post
Share on other sites

Объединяйте усилия с radar.qrator.net.

У них тоже есть статистика ботов по каждой АС.

Но багов хватает и непонятно как давить на владельцев АС, чтоб исправляли уязвимости.

Share this post


Link to post
Share on other sites

Не надо ни на кого давить, сетевой нейтралитет это не просто неблокировка и нешепейнг сервисов, но и нейтральное отношение к абонентскому исходящему трафику.

Share this post


Link to post
Share on other sites

как давить на владельцев АС

Вы лучше расскажите как давить на абонентов.

 

как как ... пассатижами и кабальными договорами с неустойками по примеру РТ ))

Share this post


Link to post
Share on other sites

Не надо ни на кого давить, сетевой нейтралитет это не просто неблокировка и нешепейнг сервисов, но и нейтральное отношение к абонентскому исходящему трафику.

т.е по сути мы никаких операций с исх трафиком абонентов не делаем, а как там qos например?

Share this post


Link to post
Share on other sites

Не надо ни на кого давить, сетевой нейтралитет это не просто неблокировка и нешепейнг сервисов, но и нейтральное отношение к абонентскому исходящему трафику.

т.е по сути мы никаких операций с исх трафиком абонентов не делаем, а как там qos например?

 

имеется ввиду шейпинг и полисинг по тарифу? ну так это мы делаем со всей трубой без разбора по типу трафику(атака или не атака). здесь же предлагается довериться некому ПО, которое скажет что вот этот абонент совершает атаку и надо таким-то образом порезать его исходняк.

Share this post


Link to post
Share on other sites

Ну вот. Итак, это просто фобия операторов?

 

Это не просто фобия, это залог выживания. http://www.litmir.co/br/?b=55548

 

Я сейчас специально полтора часа смотрел на свой NetFLOW IPFIX в коллекторе и пытался найти там какие-то данные которые позволят компрометировать сеть или как-то повредить клиенту. ОК, если IP - ценность, можно сделать аггрегацию сетей и портов, тогда все будет прилетать в сильно пожатом виде с минимумом приватной информации.

 

Проконсультируйтесь со своим traffic engineer, что имеет ценность, а что не имеет. Ну и вообще, никто не мешает транслировать свои адреса, а схему трансляции записать на иглу, иглу в яйцо, яйцо в утку, утку в зайца,

зайца в коршуна, коршуна в сундук, сундук на дуб, дуб на остров, остров в окиян, а окиян свернуть по двум координатам

и в карман. :-)

Share this post


Link to post
Share on other sites

как давить на владельцев АС

Вы лучше расскажите как давить на абонентов.

 

Смотря какая уязвимость.

Открытые http прокси лечатся только появлением оных в публичных списках. Когда паразитный траффик заполняет абонентский канал, тогда хосяу начинает шевелится.

 

Open DNS и open NTP на Микротике - закрываются внешние коннекты на эти порты хомяка.

 

Хомяка информировать по почте и в телефонном режиме, если канал очень толстый.

Share this post


Link to post
Share on other sites

как давить на владельцев АС

Вы лучше расскажите как давить на абонентов.

 

Смотря какая уязвимость.

Открытые http прокси лечатся только появлением оных в публичных списках. Когда паразитный траффик заполняет абонентский канал, тогда хосяу начинает шевелится.

 

Open DNS и open NTP на Микротике - закрываются внешние коннекты на эти порты хомяка.

 

Хомяка информировать по почте и в телефонном режиме, если канал очень толстый.

 

А тепер вопрос. Зачем это делать? Ну участвует абонент в дос-атаке, ну и пусть, его дело. Мы же не следим кто из абонентов какое порно смотрит

Share this post


Link to post
Share on other sites

Ну участвует абонент в дос-атаке, ну и пусть, его дело.

По вам DDoS-ом из таких некротиков еще не проходились?

Share this post


Link to post
Share on other sites

как давить на владельцев АС

Вы лучше расскажите как давить на абонентов.

 

Смотря какая уязвимость.

Открытые http прокси лечатся только появлением оных в публичных списках. Когда паразитный траффик заполняет абонентский канал, тогда хосяу начинает шевелится.

 

Open DNS и open NTP на Микротике - закрываются внешние коннекты на эти порты хомяка.

 

Хомяка информировать по почте и в телефонном режиме, если канал очень толстый.

 

А тепер вопрос. Зачем это делать? Ну участвует абонент в дос-атаке, ну и пусть, его дело. Мы же не следим кто из абонентов какое порно смотрит

У меня nat по схеме 1 белый адрес на дом (на vlan). Соответственно, когда идёт атака от одного из хомяков, и адрес банят, страдают все абоненты с дома. В моих интересах зарезать такую гадость.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.