pavel.odintsov Опубликовано 22 июля, 2015 · Жалоба Всем привет! Возник вот такой интересный вопрос озвученный в сабже :) Суть задачи - передать свою телеметрию в виде sFLOW/NetFlow внешней компании "в облако" для последующего анализа и предоставления каких-либо приятных фич как - выявление DDoS атак, выявление проблем с безопасностью, повышение общей видимости сети и анализ трафика. // Изаначально тема была создана в сетях, но в связи с политическим характером перенесена сюда Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
apm Опубликовано 22 июля, 2015 · Жалоба а юристы чего говорят? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
woddy Опубликовано 22 июля, 2015 · Жалоба расстреливать таких провайдеров. Одни гомосеки рекламщикам трафик зеркалируют, другие банеры вставляют, ростелеком редирект на рекламную страницу делает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 22 июля, 2015 · Жалоба Ну вот в том и вопрос, что куча контор юзает http://imarker.ru и СОРМ и отдает самое дорогое и насущное со всей приватщиной (в нешифрованном виде) абсолютно мутным конторам. А почти полностью обезличенные Netflow (на какой толку из них можно извлечь? Где там номера кредитных карт?) боятся. Даже sFLOW может быть обрезан чтобы не содержать отпечатков пакетов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DimaM Опубликовано 22 июля, 2015 · Жалоба Мутная контора, получающая netflow, сможет сливать инфу конкурентам, например, о размере абон.базы и количестве трафика, а конкурент сможет использовать это в своих целях, например мониторить, есть ли отток абонентов в результате рекламной компании, или даже так "провадер УГ имеет канал всего 1 мбит на абонента, у нас вы получите столько за сколько заплатили". Еще идея - выбрать самых богатых абонентов (по тарифному плану=жирному каналу) и окучить их персонально, но нужно уметь "вычислять по IP" :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 22 июля, 2015 · Жалоба да ну как вычислить размер абон базы если телеметрия снимается с аплинка который стоит после NAT? 250 айпи с тонной клиентов? Ну ок, хорошо, а если будет договор о гарантиях неразглашения? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 22 июля, 2015 · Жалоба да ну как вычислить размер абон базы если телеметрия снимается с аплинка который стоит после NAT? 250 айпи с тонной клиентов? Я подозреваю, что тогда и последующего анализа и предоставления каких-либо приятных фич как - выявление DDoS атак, выявление проблем с безопасностью, повышение общей видимости сети и анализ трафика. не получится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 22 июля, 2015 (изменено) · Жалоба Почему же? Понять куда идет трафик (с кем стоит попирится, чьи кэши поставить), откуда, какие протоколы, где какие проблемы на магистралях (ретранзмиты, латенси) - разве бесполезная инфа? Изменено 22 июля, 2015 пользователем pavel.odintsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 22 июля, 2015 · Жалоба Почему же? Понять куда идет трафик (с кем стоит попирится, чьи кэши поставить), откуда, какие протоколы, где какие проблемы на магистралях (ретранзмиты, латенси) - разве бесполезная инфа? Вот правильно Вы на СКАТ смотрите. Сливаете статистику с него на свой сервер и парвая часть у Вас в кармане. С ретрансмитами, правда, оно не поможет. Как, впрочем, и нетфлоу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 22 июля, 2015 · Жалоба Скат - это оборудование, за ним нужно следить/обновлять. Итд итп, я просто не уверен, что через месяц я настрою все аплинки/пиринг итд итп и эта статистика мне станет не нужна. А железка - куплена. Отсюда и желание чего-то в классе SaaS. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 22 июля, 2015 · Жалоба :-) Когда задают такие вопросы на форуме проффесиональных параноиков, какие ответы надеются получить ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergoINFOLAN Опубликовано 22 июля, 2015 · Жалоба о размере абон.базы - это и так есть в liveinternet, считай в открытом доступе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 22 июля, 2015 · Жалоба Ну вот. Итак, это просто фобия операторов? Я сейчас специально полтора часа смотрел на свой NetFLOW IPFIX в коллекторе и пытался найти там какие-то данные которые позволят компрометировать сеть или как-то повредить клиенту. ОК, если IP - ценность, можно сделать аггрегацию сетей и портов, тогда все будет прилетать в сильно пожатом виде с минимумом приватной информации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 22 июля, 2015 · Жалоба Ну вот. Итак, это просто фобия операторов? Чего пристали, вполне нормальная здоровая паранойя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 22 июля, 2015 · Жалоба Объединяйте усилия с radar.qrator.net. У них тоже есть статистика ботов по каждой АС. Но багов хватает и непонятно как давить на владельцев АС, чтоб исправляли уязвимости. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 23 июля, 2015 · Жалоба как давить на владельцев АС Вы лучше расскажите как давить на абонентов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 23 июля, 2015 · Жалоба Не надо ни на кого давить, сетевой нейтралитет это не просто неблокировка и нешепейнг сервисов, но и нейтральное отношение к абонентскому исходящему трафику. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 23 июля, 2015 · Жалоба как давить на владельцев АС Вы лучше расскажите как давить на абонентов. как как ... пассатижами и кабальными договорами с неустойками по примеру РТ )) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 23 июля, 2015 · Жалоба Не надо ни на кого давить, сетевой нейтралитет это не просто неблокировка и нешепейнг сервисов, но и нейтральное отношение к абонентскому исходящему трафику. т.е по сути мы никаких операций с исх трафиком абонентов не делаем, а как там qos например? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 23 июля, 2015 · Жалоба Не надо ни на кого давить, сетевой нейтралитет это не просто неблокировка и нешепейнг сервисов, но и нейтральное отношение к абонентскому исходящему трафику. т.е по сути мы никаких операций с исх трафиком абонентов не делаем, а как там qos например? имеется ввиду шейпинг и полисинг по тарифу? ну так это мы делаем со всей трубой без разбора по типу трафику(атака или не атака). здесь же предлагается довериться некому ПО, которое скажет что вот этот абонент совершает атаку и надо таким-то образом порезать его исходняк. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 23 июля, 2015 · Жалоба Ну вот. Итак, это просто фобия операторов? Это не просто фобия, это залог выживания. http://www.litmir.co/br/?b=55548 Я сейчас специально полтора часа смотрел на свой NetFLOW IPFIX в коллекторе и пытался найти там какие-то данные которые позволят компрометировать сеть или как-то повредить клиенту. ОК, если IP - ценность, можно сделать аггрегацию сетей и портов, тогда все будет прилетать в сильно пожатом виде с минимумом приватной информации. Проконсультируйтесь со своим traffic engineer, что имеет ценность, а что не имеет. Ну и вообще, никто не мешает транслировать свои адреса, а схему трансляции записать на иглу, иглу в яйцо, яйцо в утку, утку в зайца, зайца в коршуна, коршуна в сундук, сундук на дуб, дуб на остров, остров в окиян, а окиян свернуть по двум координатам и в карман. :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 23 июля, 2015 · Жалоба как давить на владельцев АС Вы лучше расскажите как давить на абонентов. Смотря какая уязвимость. Открытые http прокси лечатся только появлением оных в публичных списках. Когда паразитный траффик заполняет абонентский канал, тогда хосяу начинает шевелится. Open DNS и open NTP на Микротике - закрываются внешние коннекты на эти порты хомяка. Хомяка информировать по почте и в телефонном режиме, если канал очень толстый. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 23 июля, 2015 · Жалоба как давить на владельцев АС Вы лучше расскажите как давить на абонентов. Смотря какая уязвимость. Открытые http прокси лечатся только появлением оных в публичных списках. Когда паразитный траффик заполняет абонентский канал, тогда хосяу начинает шевелится. Open DNS и open NTP на Микротике - закрываются внешние коннекты на эти порты хомяка. Хомяка информировать по почте и в телефонном режиме, если канал очень толстый. А тепер вопрос. Зачем это делать? Ну участвует абонент в дос-атаке, ну и пусть, его дело. Мы же не следим кто из абонентов какое порно смотрит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 23 июля, 2015 · Жалоба Ну участвует абонент в дос-атаке, ну и пусть, его дело. По вам DDoS-ом из таких некротиков еще не проходились? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
viver Опубликовано 23 июля, 2015 · Жалоба как давить на владельцев АС Вы лучше расскажите как давить на абонентов. Смотря какая уязвимость. Открытые http прокси лечатся только появлением оных в публичных списках. Когда паразитный траффик заполняет абонентский канал, тогда хосяу начинает шевелится. Open DNS и open NTP на Микротике - закрываются внешние коннекты на эти порты хомяка. Хомяка информировать по почте и в телефонном режиме, если канал очень толстый. А тепер вопрос. Зачем это делать? Ну участвует абонент в дос-атаке, ну и пусть, его дело. Мы же не следим кто из абонентов какое порно смотрит У меня nat по схеме 1 белый адрес на дом (на vlan). Соответственно, когда идёт атака от одного из хомяков, и адрес банят, страдают все абоненты с дома. В моих интересах зарезать такую гадость. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...