pavel.odintsov Posted July 22, 2015 Posted July 22, 2015 Всем привет! Возник вот такой интересный вопрос озвученный в сабже :) Суть задачи - передать свою телеметрию в виде sFLOW/NetFlow внешней компании "в облако" для последующего анализа и предоставления каких-либо приятных фич как - выявление DDoS атак, выявление проблем с безопасностью, повышение общей видимости сети и анализ трафика. // Изаначально тема была создана в сетях, но в связи с политическим характером перенесена сюда Вставить ник Quote
woddy Posted July 22, 2015 Posted July 22, 2015 расстреливать таких провайдеров. Одни гомосеки рекламщикам трафик зеркалируют, другие банеры вставляют, ростелеком редирект на рекламную страницу делает. Вставить ник Quote
pavel.odintsov Posted July 22, 2015 Author Posted July 22, 2015 Ну вот в том и вопрос, что куча контор юзает http://imarker.ru и СОРМ и отдает самое дорогое и насущное со всей приватщиной (в нешифрованном виде) абсолютно мутным конторам. А почти полностью обезличенные Netflow (на какой толку из них можно извлечь? Где там номера кредитных карт?) боятся. Даже sFLOW может быть обрезан чтобы не содержать отпечатков пакетов. Вставить ник Quote
DimaM Posted July 22, 2015 Posted July 22, 2015 Мутная контора, получающая netflow, сможет сливать инфу конкурентам, например, о размере абон.базы и количестве трафика, а конкурент сможет использовать это в своих целях, например мониторить, есть ли отток абонентов в результате рекламной компании, или даже так "провадер УГ имеет канал всего 1 мбит на абонента, у нас вы получите столько за сколько заплатили". Еще идея - выбрать самых богатых абонентов (по тарифному плану=жирному каналу) и окучить их персонально, но нужно уметь "вычислять по IP" :) Вставить ник Quote
pavel.odintsov Posted July 22, 2015 Author Posted July 22, 2015 да ну как вычислить размер абон базы если телеметрия снимается с аплинка который стоит после NAT? 250 айпи с тонной клиентов? Ну ок, хорошо, а если будет договор о гарантиях неразглашения? Вставить ник Quote
Sergey Gilfanov Posted July 22, 2015 Posted July 22, 2015 да ну как вычислить размер абон базы если телеметрия снимается с аплинка который стоит после NAT? 250 айпи с тонной клиентов? Я подозреваю, что тогда и последующего анализа и предоставления каких-либо приятных фич как - выявление DDoS атак, выявление проблем с безопасностью, повышение общей видимости сети и анализ трафика. не получится. Вставить ник Quote
pavel.odintsov Posted July 22, 2015 Author Posted July 22, 2015 (edited) Почему же? Понять куда идет трафик (с кем стоит попирится, чьи кэши поставить), откуда, какие протоколы, где какие проблемы на магистралях (ретранзмиты, латенси) - разве бесполезная инфа? Edited July 22, 2015 by pavel.odintsov Вставить ник Quote
snvoronkov Posted July 22, 2015 Posted July 22, 2015 Почему же? Понять куда идет трафик (с кем стоит попирится, чьи кэши поставить), откуда, какие протоколы, где какие проблемы на магистралях (ретранзмиты, латенси) - разве бесполезная инфа? Вот правильно Вы на СКАТ смотрите. Сливаете статистику с него на свой сервер и парвая часть у Вас в кармане. С ретрансмитами, правда, оно не поможет. Как, впрочем, и нетфлоу. Вставить ник Quote
pavel.odintsov Posted July 22, 2015 Author Posted July 22, 2015 Скат - это оборудование, за ним нужно следить/обновлять. Итд итп, я просто не уверен, что через месяц я настрою все аплинки/пиринг итд итп и эта статистика мне станет не нужна. А железка - куплена. Отсюда и желание чего-то в классе SaaS. Вставить ник Quote
jab Posted July 22, 2015 Posted July 22, 2015 :-) Когда задают такие вопросы на форуме проффесиональных параноиков, какие ответы надеются получить ? Вставить ник Quote
SergoINFOLAN Posted July 22, 2015 Posted July 22, 2015 о размере абон.базы - это и так есть в liveinternet, считай в открытом доступе. Вставить ник Quote
pavel.odintsov Posted July 22, 2015 Author Posted July 22, 2015 Ну вот. Итак, это просто фобия операторов? Я сейчас специально полтора часа смотрел на свой NetFLOW IPFIX в коллекторе и пытался найти там какие-то данные которые позволят компрометировать сеть или как-то повредить клиенту. ОК, если IP - ценность, можно сделать аггрегацию сетей и портов, тогда все будет прилетать в сильно пожатом виде с минимумом приватной информации. Вставить ник Quote
pppoetest Posted July 22, 2015 Posted July 22, 2015 Ну вот. Итак, это просто фобия операторов? Чего пристали, вполне нормальная здоровая паранойя. Вставить ник Quote
vlad11 Posted July 22, 2015 Posted July 22, 2015 Объединяйте усилия с radar.qrator.net. У них тоже есть статистика ботов по каждой АС. Но багов хватает и непонятно как давить на владельцев АС, чтоб исправляли уязвимости. Вставить ник Quote
pppoetest Posted July 23, 2015 Posted July 23, 2015 как давить на владельцев АС Вы лучше расскажите как давить на абонентов. Вставить ник Quote
s.lobanov Posted July 23, 2015 Posted July 23, 2015 Не надо ни на кого давить, сетевой нейтралитет это не просто неблокировка и нешепейнг сервисов, но и нейтральное отношение к абонентскому исходящему трафику. Вставить ник Quote
alks Posted July 23, 2015 Posted July 23, 2015 как давить на владельцев АС Вы лучше расскажите как давить на абонентов. как как ... пассатижами и кабальными договорами с неустойками по примеру РТ )) Вставить ник Quote
rdntw Posted July 23, 2015 Posted July 23, 2015 Не надо ни на кого давить, сетевой нейтралитет это не просто неблокировка и нешепейнг сервисов, но и нейтральное отношение к абонентскому исходящему трафику. т.е по сути мы никаких операций с исх трафиком абонентов не делаем, а как там qos например? Вставить ник Quote
s.lobanov Posted July 23, 2015 Posted July 23, 2015 Не надо ни на кого давить, сетевой нейтралитет это не просто неблокировка и нешепейнг сервисов, но и нейтральное отношение к абонентскому исходящему трафику. т.е по сути мы никаких операций с исх трафиком абонентов не делаем, а как там qos например? имеется ввиду шейпинг и полисинг по тарифу? ну так это мы делаем со всей трубой без разбора по типу трафику(атака или не атака). здесь же предлагается довериться некому ПО, которое скажет что вот этот абонент совершает атаку и надо таким-то образом порезать его исходняк. Вставить ник Quote
jab Posted July 23, 2015 Posted July 23, 2015 Ну вот. Итак, это просто фобия операторов? Это не просто фобия, это залог выживания. http://www.litmir.co/br/?b=55548 Я сейчас специально полтора часа смотрел на свой NetFLOW IPFIX в коллекторе и пытался найти там какие-то данные которые позволят компрометировать сеть или как-то повредить клиенту. ОК, если IP - ценность, можно сделать аггрегацию сетей и портов, тогда все будет прилетать в сильно пожатом виде с минимумом приватной информации. Проконсультируйтесь со своим traffic engineer, что имеет ценность, а что не имеет. Ну и вообще, никто не мешает транслировать свои адреса, а схему трансляции записать на иглу, иглу в яйцо, яйцо в утку, утку в зайца, зайца в коршуна, коршуна в сундук, сундук на дуб, дуб на остров, остров в окиян, а окиян свернуть по двум координатам и в карман. :-) Вставить ник Quote
vlad11 Posted July 23, 2015 Posted July 23, 2015 как давить на владельцев АС Вы лучше расскажите как давить на абонентов. Смотря какая уязвимость. Открытые http прокси лечатся только появлением оных в публичных списках. Когда паразитный траффик заполняет абонентский канал, тогда хосяу начинает шевелится. Open DNS и open NTP на Микротике - закрываются внешние коннекты на эти порты хомяка. Хомяка информировать по почте и в телефонном режиме, если канал очень толстый. Вставить ник Quote
s.lobanov Posted July 23, 2015 Posted July 23, 2015 как давить на владельцев АС Вы лучше расскажите как давить на абонентов. Смотря какая уязвимость. Открытые http прокси лечатся только появлением оных в публичных списках. Когда паразитный траффик заполняет абонентский канал, тогда хосяу начинает шевелится. Open DNS и open NTP на Микротике - закрываются внешние коннекты на эти порты хомяка. Хомяка информировать по почте и в телефонном режиме, если канал очень толстый. А тепер вопрос. Зачем это делать? Ну участвует абонент в дос-атаке, ну и пусть, его дело. Мы же не следим кто из абонентов какое порно смотрит Вставить ник Quote
snvoronkov Posted July 23, 2015 Posted July 23, 2015 Ну участвует абонент в дос-атаке, ну и пусть, его дело. По вам DDoS-ом из таких некротиков еще не проходились? Вставить ник Quote
viver Posted July 23, 2015 Posted July 23, 2015 как давить на владельцев АС Вы лучше расскажите как давить на абонентов. Смотря какая уязвимость. Открытые http прокси лечатся только появлением оных в публичных списках. Когда паразитный траффик заполняет абонентский канал, тогда хосяу начинает шевелится. Open DNS и open NTP на Микротике - закрываются внешние коннекты на эти порты хомяка. Хомяка информировать по почте и в телефонном режиме, если канал очень толстый. А тепер вопрос. Зачем это делать? Ну участвует абонент в дос-атаке, ну и пусть, его дело. Мы же не следим кто из абонентов какое порно смотрит У меня nat по схеме 1 белый адрес на дом (на vlan). Соответственно, когда идёт атака от одного из хомяков, и адрес банят, страдают все абоненты с дома. В моих интересах зарезать такую гадость. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.