Перейти к содержимому
Калькуляторы

Готовы ли Вы передать sFLOW/NetFlow Вашей сети третьей стороне?

Всем привет!

 

Возник вот такой интересный вопрос озвученный в сабже :) Суть задачи - передать свою телеметрию в виде sFLOW/NetFlow внешней компании "в облако" для последующего анализа и предоставления каких-либо приятных фич как - выявление DDoS атак, выявление проблем с безопасностью, повышение общей видимости сети и анализ трафика.

 

// Изаначально тема была создана в сетях, но в связи с политическим характером перенесена сюда

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

расстреливать таких провайдеров. Одни гомосеки рекламщикам трафик зеркалируют, другие банеры вставляют, ростелеком редирект на рекламную страницу делает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну вот в том и вопрос, что куча контор юзает http://imarker.ru и СОРМ и отдает самое дорогое и насущное со всей приватщиной (в нешифрованном виде) абсолютно мутным конторам.

 

А почти полностью обезличенные Netflow (на какой толку из них можно извлечь? Где там номера кредитных карт?) боятся. Даже sFLOW может быть обрезан чтобы не содержать отпечатков пакетов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мутная контора, получающая netflow, сможет сливать инфу конкурентам, например, о размере абон.базы и количестве трафика,

а конкурент сможет использовать это в своих целях, например мониторить, есть ли отток абонентов в результате рекламной компании,

или даже так "провадер УГ имеет канал всего 1 мбит на абонента, у нас вы получите столько за сколько заплатили".

 

Еще идея - выбрать самых богатых абонентов (по тарифному плану=жирному каналу) и окучить их персонально,

но нужно уметь "вычислять по IP" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да ну как вычислить размер абон базы если телеметрия снимается с аплинка который стоит после NAT? 250 айпи с тонной клиентов?

 

Ну ок, хорошо, а если будет договор о гарантиях неразглашения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да ну как вычислить размер абон базы если телеметрия снимается с аплинка который стоит после NAT? 250 айпи с тонной клиентов?

Я подозреваю, что тогда и

последующего анализа и предоставления каких-либо приятных фич как - выявление DDoS атак, выявление проблем с безопасностью, повышение общей видимости сети и анализ трафика.

не получится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Почему же? Понять куда идет трафик (с кем стоит попирится, чьи кэши поставить), откуда, какие протоколы, где какие проблемы на магистралях (ретранзмиты, латенси) - разве бесполезная инфа?

Изменено пользователем pavel.odintsov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Почему же? Понять куда идет трафик (с кем стоит попирится, чьи кэши поставить), откуда, какие протоколы, где какие проблемы на магистралях (ретранзмиты, латенси) - разве бесполезная инфа?

Вот правильно Вы на СКАТ смотрите. Сливаете статистику с него на свой сервер и парвая часть у Вас в кармане. С ретрансмитами, правда, оно не поможет. Как, впрочем, и нетфлоу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Скат - это оборудование, за ним нужно следить/обновлять. Итд итп, я просто не уверен, что через месяц я настрою все аплинки/пиринг итд итп и эта статистика мне станет не нужна. А железка - куплена. Отсюда и желание чего-то в классе SaaS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

:-) Когда задают такие вопросы на форуме проффесиональных параноиков, какие ответы надеются получить ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

о размере абон.базы - это и так есть в liveinternet, считай в открытом доступе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну вот. Итак, это просто фобия операторов? Я сейчас специально полтора часа смотрел на свой NetFLOW IPFIX в коллекторе и пытался найти там какие-то данные которые позволят компрометировать сеть или как-то повредить клиенту. ОК, если IP - ценность, можно сделать аггрегацию сетей и портов, тогда все будет прилетать в сильно пожатом виде с минимумом приватной информации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну вот. Итак, это просто фобия операторов?

Чего пристали, вполне нормальная здоровая паранойя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Объединяйте усилия с radar.qrator.net.

У них тоже есть статистика ботов по каждой АС.

Но багов хватает и непонятно как давить на владельцев АС, чтоб исправляли уязвимости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

как давить на владельцев АС

Вы лучше расскажите как давить на абонентов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не надо ни на кого давить, сетевой нейтралитет это не просто неблокировка и нешепейнг сервисов, но и нейтральное отношение к абонентскому исходящему трафику.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

как давить на владельцев АС

Вы лучше расскажите как давить на абонентов.

 

как как ... пассатижами и кабальными договорами с неустойками по примеру РТ ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не надо ни на кого давить, сетевой нейтралитет это не просто неблокировка и нешепейнг сервисов, но и нейтральное отношение к абонентскому исходящему трафику.

т.е по сути мы никаких операций с исх трафиком абонентов не делаем, а как там qos например?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не надо ни на кого давить, сетевой нейтралитет это не просто неблокировка и нешепейнг сервисов, но и нейтральное отношение к абонентскому исходящему трафику.

т.е по сути мы никаких операций с исх трафиком абонентов не делаем, а как там qos например?

 

имеется ввиду шейпинг и полисинг по тарифу? ну так это мы делаем со всей трубой без разбора по типу трафику(атака или не атака). здесь же предлагается довериться некому ПО, которое скажет что вот этот абонент совершает атаку и надо таким-то образом порезать его исходняк.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну вот. Итак, это просто фобия операторов?

 

Это не просто фобия, это залог выживания. http://www.litmir.co/br/?b=55548

 

Я сейчас специально полтора часа смотрел на свой NetFLOW IPFIX в коллекторе и пытался найти там какие-то данные которые позволят компрометировать сеть или как-то повредить клиенту. ОК, если IP - ценность, можно сделать аггрегацию сетей и портов, тогда все будет прилетать в сильно пожатом виде с минимумом приватной информации.

 

Проконсультируйтесь со своим traffic engineer, что имеет ценность, а что не имеет. Ну и вообще, никто не мешает транслировать свои адреса, а схему трансляции записать на иглу, иглу в яйцо, яйцо в утку, утку в зайца,

зайца в коршуна, коршуна в сундук, сундук на дуб, дуб на остров, остров в окиян, а окиян свернуть по двум координатам

и в карман. :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

как давить на владельцев АС

Вы лучше расскажите как давить на абонентов.

 

Смотря какая уязвимость.

Открытые http прокси лечатся только появлением оных в публичных списках. Когда паразитный траффик заполняет абонентский канал, тогда хосяу начинает шевелится.

 

Open DNS и open NTP на Микротике - закрываются внешние коннекты на эти порты хомяка.

 

Хомяка информировать по почте и в телефонном режиме, если канал очень толстый.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

как давить на владельцев АС

Вы лучше расскажите как давить на абонентов.

 

Смотря какая уязвимость.

Открытые http прокси лечатся только появлением оных в публичных списках. Когда паразитный траффик заполняет абонентский канал, тогда хосяу начинает шевелится.

 

Open DNS и open NTP на Микротике - закрываются внешние коннекты на эти порты хомяка.

 

Хомяка информировать по почте и в телефонном режиме, если канал очень толстый.

 

А тепер вопрос. Зачем это делать? Ну участвует абонент в дос-атаке, ну и пусть, его дело. Мы же не следим кто из абонентов какое порно смотрит

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну участвует абонент в дос-атаке, ну и пусть, его дело.

По вам DDoS-ом из таких некротиков еще не проходились?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

как давить на владельцев АС

Вы лучше расскажите как давить на абонентов.

 

Смотря какая уязвимость.

Открытые http прокси лечатся только появлением оных в публичных списках. Когда паразитный траффик заполняет абонентский канал, тогда хосяу начинает шевелится.

 

Open DNS и open NTP на Микротике - закрываются внешние коннекты на эти порты хомяка.

 

Хомяка информировать по почте и в телефонном режиме, если канал очень толстый.

 

А тепер вопрос. Зачем это делать? Ну участвует абонент в дос-атаке, ну и пусть, его дело. Мы же не следим кто из абонентов какое порно смотрит

У меня nat по схеме 1 белый адрес на дом (на vlan). Соответственно, когда идёт атака от одного из хомяков, и адрес банят, страдают все абоненты с дома. В моих интересах зарезать такую гадость.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.