pavel.odintsov Posted July 22, 2015 · Report post Всем привет! Возник вот такой интересный вопрос озвученный в сабже :) Суть задачи - передать свою телеметрию в виде sFLOW/NetFlow внешней компании "в облако" для последующего анализа и предоставления каких-либо приятных фич как - выявление DDoS атак, выявление проблем с безопасностью, повышение общей видимости сети и анализ трафика. // Изаначально тема была создана в сетях, но в связи с политическим характером перенесена сюда Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
apm Posted July 22, 2015 · Report post а юристы чего говорят? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
woddy Posted July 22, 2015 · Report post расстреливать таких провайдеров. Одни гомосеки рекламщикам трафик зеркалируют, другие банеры вставляют, ростелеком редирект на рекламную страницу делает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pavel.odintsov Posted July 22, 2015 · Report post Ну вот в том и вопрос, что куча контор юзает http://imarker.ru и СОРМ и отдает самое дорогое и насущное со всей приватщиной (в нешифрованном виде) абсолютно мутным конторам. А почти полностью обезличенные Netflow (на какой толку из них можно извлечь? Где там номера кредитных карт?) боятся. Даже sFLOW может быть обрезан чтобы не содержать отпечатков пакетов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DimaM Posted July 22, 2015 · Report post Мутная контора, получающая netflow, сможет сливать инфу конкурентам, например, о размере абон.базы и количестве трафика, а конкурент сможет использовать это в своих целях, например мониторить, есть ли отток абонентов в результате рекламной компании, или даже так "провадер УГ имеет канал всего 1 мбит на абонента, у нас вы получите столько за сколько заплатили". Еще идея - выбрать самых богатых абонентов (по тарифному плану=жирному каналу) и окучить их персонально, но нужно уметь "вычислять по IP" :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pavel.odintsov Posted July 22, 2015 · Report post да ну как вычислить размер абон базы если телеметрия снимается с аплинка который стоит после NAT? 250 айпи с тонной клиентов? Ну ок, хорошо, а если будет договор о гарантиях неразглашения? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted July 22, 2015 · Report post да ну как вычислить размер абон базы если телеметрия снимается с аплинка который стоит после NAT? 250 айпи с тонной клиентов? Я подозреваю, что тогда и последующего анализа и предоставления каких-либо приятных фич как - выявление DDoS атак, выявление проблем с безопасностью, повышение общей видимости сети и анализ трафика. не получится. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pavel.odintsov Posted July 22, 2015 (edited) · Report post Почему же? Понять куда идет трафик (с кем стоит попирится, чьи кэши поставить), откуда, какие протоколы, где какие проблемы на магистралях (ретранзмиты, латенси) - разве бесполезная инфа? Edited July 22, 2015 by pavel.odintsov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted July 22, 2015 · Report post Почему же? Понять куда идет трафик (с кем стоит попирится, чьи кэши поставить), откуда, какие протоколы, где какие проблемы на магистралях (ретранзмиты, латенси) - разве бесполезная инфа? Вот правильно Вы на СКАТ смотрите. Сливаете статистику с него на свой сервер и парвая часть у Вас в кармане. С ретрансмитами, правда, оно не поможет. Как, впрочем, и нетфлоу. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pavel.odintsov Posted July 22, 2015 · Report post Скат - это оборудование, за ним нужно следить/обновлять. Итд итп, я просто не уверен, что через месяц я настрою все аплинки/пиринг итд итп и эта статистика мне станет не нужна. А железка - куплена. Отсюда и желание чего-то в классе SaaS. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jab Posted July 22, 2015 · Report post :-) Когда задают такие вопросы на форуме проффесиональных параноиков, какие ответы надеются получить ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SergoINFOLAN Posted July 22, 2015 · Report post о размере абон.базы - это и так есть в liveinternet, считай в открытом доступе. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pavel.odintsov Posted July 22, 2015 · Report post Ну вот. Итак, это просто фобия операторов? Я сейчас специально полтора часа смотрел на свой NetFLOW IPFIX в коллекторе и пытался найти там какие-то данные которые позволят компрометировать сеть или как-то повредить клиенту. ОК, если IP - ценность, можно сделать аггрегацию сетей и портов, тогда все будет прилетать в сильно пожатом виде с минимумом приватной информации. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted July 22, 2015 · Report post Ну вот. Итак, это просто фобия операторов? Чего пристали, вполне нормальная здоровая паранойя. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vlad11 Posted July 22, 2015 · Report post Объединяйте усилия с radar.qrator.net. У них тоже есть статистика ботов по каждой АС. Но багов хватает и непонятно как давить на владельцев АС, чтоб исправляли уязвимости. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted July 23, 2015 · Report post как давить на владельцев АС Вы лучше расскажите как давить на абонентов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted July 23, 2015 · Report post Не надо ни на кого давить, сетевой нейтралитет это не просто неблокировка и нешепейнг сервисов, но и нейтральное отношение к абонентскому исходящему трафику. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alks Posted July 23, 2015 · Report post как давить на владельцев АС Вы лучше расскажите как давить на абонентов. как как ... пассатижами и кабальными договорами с неустойками по примеру РТ )) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdntw Posted July 23, 2015 · Report post Не надо ни на кого давить, сетевой нейтралитет это не просто неблокировка и нешепейнг сервисов, но и нейтральное отношение к абонентскому исходящему трафику. т.е по сути мы никаких операций с исх трафиком абонентов не делаем, а как там qos например? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted July 23, 2015 · Report post Не надо ни на кого давить, сетевой нейтралитет это не просто неблокировка и нешепейнг сервисов, но и нейтральное отношение к абонентскому исходящему трафику. т.е по сути мы никаких операций с исх трафиком абонентов не делаем, а как там qos например? имеется ввиду шейпинг и полисинг по тарифу? ну так это мы делаем со всей трубой без разбора по типу трафику(атака или не атака). здесь же предлагается довериться некому ПО, которое скажет что вот этот абонент совершает атаку и надо таким-то образом порезать его исходняк. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jab Posted July 23, 2015 · Report post Ну вот. Итак, это просто фобия операторов? Это не просто фобия, это залог выживания. http://www.litmir.co/br/?b=55548 Я сейчас специально полтора часа смотрел на свой NetFLOW IPFIX в коллекторе и пытался найти там какие-то данные которые позволят компрометировать сеть или как-то повредить клиенту. ОК, если IP - ценность, можно сделать аггрегацию сетей и портов, тогда все будет прилетать в сильно пожатом виде с минимумом приватной информации. Проконсультируйтесь со своим traffic engineer, что имеет ценность, а что не имеет. Ну и вообще, никто не мешает транслировать свои адреса, а схему трансляции записать на иглу, иглу в яйцо, яйцо в утку, утку в зайца, зайца в коршуна, коршуна в сундук, сундук на дуб, дуб на остров, остров в окиян, а окиян свернуть по двум координатам и в карман. :-) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vlad11 Posted July 23, 2015 · Report post как давить на владельцев АС Вы лучше расскажите как давить на абонентов. Смотря какая уязвимость. Открытые http прокси лечатся только появлением оных в публичных списках. Когда паразитный траффик заполняет абонентский канал, тогда хосяу начинает шевелится. Open DNS и open NTP на Микротике - закрываются внешние коннекты на эти порты хомяка. Хомяка информировать по почте и в телефонном режиме, если канал очень толстый. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted July 23, 2015 · Report post как давить на владельцев АС Вы лучше расскажите как давить на абонентов. Смотря какая уязвимость. Открытые http прокси лечатся только появлением оных в публичных списках. Когда паразитный траффик заполняет абонентский канал, тогда хосяу начинает шевелится. Open DNS и open NTP на Микротике - закрываются внешние коннекты на эти порты хомяка. Хомяка информировать по почте и в телефонном режиме, если канал очень толстый. А тепер вопрос. Зачем это делать? Ну участвует абонент в дос-атаке, ну и пусть, его дело. Мы же не следим кто из абонентов какое порно смотрит Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted July 23, 2015 · Report post Ну участвует абонент в дос-атаке, ну и пусть, его дело. По вам DDoS-ом из таких некротиков еще не проходились? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
viver Posted July 23, 2015 · Report post как давить на владельцев АС Вы лучше расскажите как давить на абонентов. Смотря какая уязвимость. Открытые http прокси лечатся только появлением оных в публичных списках. Когда паразитный траффик заполняет абонентский канал, тогда хосяу начинает шевелится. Open DNS и open NTP на Микротике - закрываются внешние коннекты на эти порты хомяка. Хомяка информировать по почте и в телефонном режиме, если канал очень толстый. А тепер вопрос. Зачем это делать? Ну участвует абонент в дос-атаке, ну и пусть, его дело. Мы же не следим кто из абонентов какое порно смотрит У меня nat по схеме 1 белый адрес на дом (на vlan). Соответственно, когда идёт атака от одного из хомяков, и адрес банят, страдают все абоненты с дома. В моих интересах зарезать такую гадость. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...