[Megas]

pavel, подскажите, как реализовать такую ситуацию:

надо чтобы для всех к примеру на 20к pps уведомление летело только в личный ящик, а вот на 50к pps уже дежурным.

то есть нужно 2 порога с разными получателями, но все идентично для всех сетей.

[pavel.odintsov]

Сложный вопрос, как это реализовать в конфиге, нужно подумать.

 

Бага shaytan была геройский решена отключением оффлоада сетевой, что всем и рекомендую в обязательном порядке при использовании mirror/mirror_netmap:

ethtool -K eth1 gro off gso off tso off lro off

[Megas]

Pavel, если можно подумайте как это сделать, было бы очень приятно.

 

У меня тут еще одна задачка всплала и у неё тоже нет интересной реализации пока, лежат у меня оптические делители сигнала, предназначались для отделения одного из линков на агрегации и отправки на мониторинг, но ведь если правильно понимаю, то fastnetmon покажет только половину трафика при таком подходе, а можно где-то сказать ему чтобы трафик умножил на 2 или 4ре в зависимости от кол линков в агрегации.

[pavel.odintsov]

А это уже реализовано :) Правда, это делалось для Juniper, которые умеют делать вырезку определенной части трафика с порта. В Вашем случае все будет также работать на ура :)

 

# Port mirroring could be sampled
pfring_sampling_ratio = 1

# Port mirroring could be sampled
netmap_sampling_ratio = 1

[pavel.odintsov]

А между тем, мы попали в оф дерево FreeBSD: https://freshports.org/net-mgmt/fastnetmon/

[pavel.odintsov]

Новая фича! Экономим на портах для захвата трафика на Juniper: https://github.com/FastVPSEestiOu/fastnetmon/issues/402

[pavel.odintsov]

Добавил возможность установке пороговых значений по протоколам, например, установить минимальные пороги по UDP в случае, когда его не наблюдается вообще для скорейшего обнаружения атак! :)

[pavel.odintsov]

Теперь для FreeBSD поддерживается скрипт автоматической установки для 9 и 10х версий по аналогии с оным для линукса: https://github.com/FastVPSEestiOu/fastnetmon/blob/master/docs/FreeBSD_INSTALL.md :)

[SyJet]

Павел, глянь какая ца-ца: https://github.com/dsvetlov/lightsiem

;-)

[FATHER_FBI]

Павел не доступны пакеты с сервера 178.62.227.110

https://github.com/FastVPSEestiOu/fastnetmon/blob/master/docs/PACKAGES_INSTALL.md

[pavel.odintsov]

SyJet, занятная штука :)

 

FATHER_FBI, они пока убраны, багов оч много :(

[Megas]

pavel, а насчет запуска нескольких экземпляров fastnetmon ?

интересно для фри

 

/etc/rc.conf

fastnetmon_first_enable="YES"

fastnetmon_first_config="/usr/local/etc/fastnetmon_first.conf"

fastnetmon_first_pid="/var/run/fastnetmon_fist.pid"

fastnetmon_first_port="3001"

fastnetmon_first_interface="ix1, ix2"

 

и т.д.

Изменено 23 сентября, 2015 пользователем Megas

[pavel.odintsov]

О, мой друг! Вы гений! Точно же! Вынести путь до pid в конфиг! И через параметр командной строки управлять путем до конфига! =) Скоро сделаю.

[pavel.odintsov]

Прошу - возможность запускать несколько инстансов: https://github.com/FastVPSEestiOu/fastnetmon/issues/270 :)

[roma33rus]

Всем привет. Нужен совет, даже скорей пояснение. Установил на фре из портов и в логе атак вижу такое. Прикреплю файлом.

Смущают такие значения:

Total incoming traffic: 125 mbps

Total outgoing traffic: 2477 mbps

Average incoming traffic: 125 mbps

Average outgoing traffic: 2477 mbps

Incoming tcp traffic: 687 mbps

Outgoing tcp traffic: 13669 mbps

 

Как это можно трактовать? или я где-то в настройках не докрутил?

attack.txt

Изменено 25 сентября, 2015 пользователем roma33rus

[pavel.odintsov]

А какой режим захвата?

[roma33rus]

А какой режим захвата?

 

Netflow. ipcad с машинки freebsd

Изменено 25 сентября, 2015 пользователем roma33rus

[pavel.odintsov]

flow active timeout? flow inactive timeout? Какой average_calculation_time? Все надо в 30 секунд выставить и тогда будут разумные цифры.

[roma33rus]

flow active timeout? flow inactive timeout? Какой average_calculation_time? Все надо в 30 секунд выставить и тогда будут разумные цифры.

 

flow таймауты выставил по 30 секунд. А average_calculation_time в fastnetmon у меня стоит по умолчанию 5.

[pavel.odintsov]

Выкручивайте до 30 и его :)

[roma33rus]

Выкручивайте до 30 и его :)

Крутанул до 30, все вроде бы лучше стало. Только например Incoming tcp traffic: 156 mbps, это норм?

 

IP: 194.**.**.**
Attack type: syn_flood
Initial attack power: 516 packets per second
Peak attack power: 516 packets per second
Attack direction: incoming
Attack protocol: tcp
Total incoming traffic: 5 mbps
Total outgoing traffic: 0 mbps
Total incoming pps: 516 packets per second
Total outgoing pps: 294 packets per second
Total incoming flows: 0 flows per second
Total outgoing flows: 0 flows per second
Average incoming traffic: 5 mbps
Average outgoing traffic: 0 mbps
Average incoming pps: 516 packets per second
Average outgoing pps: 294 packets per second
Average incoming flows: 0 flows per second
Average outgoing flows: 0 flows per second
Incoming ip fragmented traffic: 0 mbps
Outgoing ip fragmented traffic: 0 mbps
Incoming ip fragmented pps: 0 packets per second
Outgoing ip fragmented pps: 0 packets per second
Incoming tcp traffic: 156 mbps
Outgoing tcp traffic: 5 mbps
Incoming tcp pps: 15013 packets per second
Outgoing tcp pps: 8381 packets per second
Incoming syn tcp traffic: 155 mbps
Outgoing syn tcp traffic: 3 mbps
Incoming syn tcp pps: 14590 packets per second
Outgoing syn tcp pps: 7733 packets per second
Incoming udp traffic: 0 mbps
Outgoing udp traffic: 0 mbps
Incoming udp pps: 0 packets per second
Outgoing udp pps: 0 packets per second
Incoming icmp traffic: 0 mbps
Outgoing icmp traffic: 0 mbps
Incoming icmp pps: 0 packets per second
Outgoing icmp pps: 0 packets per second
Average packet size for incoming traffic: 1346.9 bytes
Average packet size for outgoing traffic: 89.9 bytes

[pavel.odintsov]

Вот странно, да. Не особо понимаю, как так выходит. Но основные счетчики ведут себя корректно.

[roma33rus]

Вот странно, да. Не особо понимаю, как так выходит. Но основные счетчики ведут себя корректно.

 

Я думаю и бог с ним. Главное основные счетчики будут работать и отлавливать атаки. Спасибо за программу и помощь :-)

[pavel.odintsov]

Я забил баг, попробу поломать голову как так выходит. А так да - главное основные счетчики :)

[roma33rus]

Я забил баг, попробу поломать голову как так выходит. А так да - главное основные счетчики :)

 

Вот на всякий скину настройки ipcad.

 

interface vlan4;
interface vlan5;
interface vlan6;
interface vlan7;
interface vlan8;
interface vlan9;
interface vlan10;
interface vlan11;
interface vlan12;
interface vlan13;
interface vlan14;
interface vlan15;
interface vlan16;
interface vlan17;
interface vlan18;
interface vlan19;
interface vlan20;
interface vlan21;
interface vlan22;
interface vlan23;
interface vlan24;
interface vlan25;
interface vlan26;
interface vlan27;
interface vlan28;
interface vlan29;
interface vlan30;
interface vlan31;
interface vlan32;
interface vlan33;
interface vlan34;
interface vlan35;
interface vlan36;
interface vlan37;
interface vlan38;
interface vlan39;
interface vlan40;
interface vlan41;
interface vlan42;
interface vlan43;
interface vlan44;
interface vlan45;
interface vlan46;
interface vlan47;
interface vlan48;
interface vlan49;
interface vlan50;

# Use port detalisation
capture-ports disable;

netflow export destination 91.**.**.** 2055;
netflow export version 5;       # NetFlow export format version {1|5}
netflow timeout active 30;      # Timeout when flow is active, in minutes
netflow timeout inactive 30;    # Flow inactivity timeout, in seconds
netflow engine-type 73;         # v5 engine_type; 73='I' for "IPCAD"
netflow engine-id 2;            # Useful to differentiate multiple ipcads.

dumpfile = /var/ipcad2/ipcad2.dump;
pidfile = /var/ipcad2/ipcad2.pid;

memory_limit = 16m;

uid = 65534;
gid = 65534;