Megas Опубликовано 30 августа, 2015 · Жалоба pavel, подскажите, как реализовать такую ситуацию: надо чтобы для всех к примеру на 20к pps уведомление летело только в личный ящик, а вот на 50к pps уже дежурным. то есть нужно 2 порога с разными получателями, но все идентично для всех сетей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 30 августа, 2015 · Жалоба Сложный вопрос, как это реализовать в конфиге, нужно подумать. Бага shaytan была геройский решена отключением оффлоада сетевой, что всем и рекомендую в обязательном порядке при использовании mirror/mirror_netmap: ethtool -K eth1 gro off gso off tso off lro off Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 31 августа, 2015 · Жалоба Pavel, если можно подумайте как это сделать, было бы очень приятно. У меня тут еще одна задачка всплала и у неё тоже нет интересной реализации пока, лежат у меня оптические делители сигнала, предназначались для отделения одного из линков на агрегации и отправки на мониторинг, но ведь если правильно понимаю, то fastnetmon покажет только половину трафика при таком подходе, а можно где-то сказать ему чтобы трафик умножил на 2 или 4ре в зависимости от кол линков в агрегации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 31 августа, 2015 · Жалоба А это уже реализовано :) Правда, это делалось для Juniper, которые умеют делать вырезку определенной части трафика с порта. В Вашем случае все будет также работать на ура :) # Port mirroring could be sampled pfring_sampling_ratio = 1 # Port mirroring could be sampled netmap_sampling_ratio = 1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 1 сентября, 2015 · Жалоба А между тем, мы попали в оф дерево FreeBSD: https://freshports.org/net-mgmt/fastnetmon/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 10 сентября, 2015 · Жалоба Новая фича! Экономим на портах для захвата трафика на Juniper: https://github.com/FastVPSEestiOu/fastnetmon/issues/402 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 11 сентября, 2015 · Жалоба Добавил возможность установке пороговых значений по протоколам, например, установить минимальные пороги по UDP в случае, когда его не наблюдается вообще для скорейшего обнаружения атак! :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 21 сентября, 2015 · Жалоба Теперь для FreeBSD поддерживается скрипт автоматической установки для 9 и 10х версий по аналогии с оным для линукса: https://github.com/FastVPSEestiOu/fastnetmon/blob/master/docs/FreeBSD_INSTALL.md :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 21 сентября, 2015 · Жалоба Павел, глянь какая ца-ца: https://github.com/dsvetlov/lightsiem ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FATHER_FBI Опубликовано 22 сентября, 2015 · Жалоба Павел не доступны пакеты с сервера 178.62.227.110 https://github.com/FastVPSEestiOu/fastnetmon/blob/master/docs/PACKAGES_INSTALL.md Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 22 сентября, 2015 · Жалоба SyJet, занятная штука :) FATHER_FBI, они пока убраны, багов оч много :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 23 сентября, 2015 (изменено) · Жалоба pavel, а насчет запуска нескольких экземпляров fastnetmon ? интересно для фри /etc/rc.conf fastnetmon_first_enable="YES" fastnetmon_first_config="/usr/local/etc/fastnetmon_first.conf" fastnetmon_first_pid="/var/run/fastnetmon_fist.pid" fastnetmon_first_port="3001" fastnetmon_first_interface="ix1, ix2" и т.д. Изменено 23 сентября, 2015 пользователем Megas Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 23 сентября, 2015 · Жалоба О, мой друг! Вы гений! Точно же! Вынести путь до pid в конфиг! И через параметр командной строки управлять путем до конфига! =) Скоро сделаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 23 сентября, 2015 · Жалоба Прошу - возможность запускать несколько инстансов: https://github.com/FastVPSEestiOu/fastnetmon/issues/270 :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 25 сентября, 2015 (изменено) · Жалоба Всем привет. Нужен совет, даже скорей пояснение. Установил на фре из портов и в логе атак вижу такое. Прикреплю файлом. Смущают такие значения: Total incoming traffic: 125 mbps Total outgoing traffic: 2477 mbps Average incoming traffic: 125 mbps Average outgoing traffic: 2477 mbps Incoming tcp traffic: 687 mbps Outgoing tcp traffic: 13669 mbps Как это можно трактовать? или я где-то в настройках не докрутил? attack.txt Изменено 25 сентября, 2015 пользователем roma33rus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 25 сентября, 2015 · Жалоба А какой режим захвата? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 25 сентября, 2015 (изменено) · Жалоба А какой режим захвата? Netflow. ipcad с машинки freebsd Изменено 25 сентября, 2015 пользователем roma33rus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 25 сентября, 2015 · Жалоба flow active timeout? flow inactive timeout? Какой average_calculation_time? Все надо в 30 секунд выставить и тогда будут разумные цифры. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 25 сентября, 2015 · Жалоба flow active timeout? flow inactive timeout? Какой average_calculation_time? Все надо в 30 секунд выставить и тогда будут разумные цифры. flow таймауты выставил по 30 секунд. А average_calculation_time в fastnetmon у меня стоит по умолчанию 5. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 25 сентября, 2015 · Жалоба Выкручивайте до 30 и его :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 28 сентября, 2015 · Жалоба Выкручивайте до 30 и его :) Крутанул до 30, все вроде бы лучше стало. Только например Incoming tcp traffic: 156 mbps, это норм? IP: 194.**.**.** Attack type: syn_flood Initial attack power: 516 packets per second Peak attack power: 516 packets per second Attack direction: incoming Attack protocol: tcp Total incoming traffic: 5 mbps Total outgoing traffic: 0 mbps Total incoming pps: 516 packets per second Total outgoing pps: 294 packets per second Total incoming flows: 0 flows per second Total outgoing flows: 0 flows per second Average incoming traffic: 5 mbps Average outgoing traffic: 0 mbps Average incoming pps: 516 packets per second Average outgoing pps: 294 packets per second Average incoming flows: 0 flows per second Average outgoing flows: 0 flows per second Incoming ip fragmented traffic: 0 mbps Outgoing ip fragmented traffic: 0 mbps Incoming ip fragmented pps: 0 packets per second Outgoing ip fragmented pps: 0 packets per second Incoming tcp traffic: 156 mbps Outgoing tcp traffic: 5 mbps Incoming tcp pps: 15013 packets per second Outgoing tcp pps: 8381 packets per second Incoming syn tcp traffic: 155 mbps Outgoing syn tcp traffic: 3 mbps Incoming syn tcp pps: 14590 packets per second Outgoing syn tcp pps: 7733 packets per second Incoming udp traffic: 0 mbps Outgoing udp traffic: 0 mbps Incoming udp pps: 0 packets per second Outgoing udp pps: 0 packets per second Incoming icmp traffic: 0 mbps Outgoing icmp traffic: 0 mbps Incoming icmp pps: 0 packets per second Outgoing icmp pps: 0 packets per second Average packet size for incoming traffic: 1346.9 bytes Average packet size for outgoing traffic: 89.9 bytes Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 28 сентября, 2015 · Жалоба Вот странно, да. Не особо понимаю, как так выходит. Но основные счетчики ведут себя корректно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 29 сентября, 2015 · Жалоба Вот странно, да. Не особо понимаю, как так выходит. Но основные счетчики ведут себя корректно. Я думаю и бог с ним. Главное основные счетчики будут работать и отлавливать атаки. Спасибо за программу и помощь :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 29 сентября, 2015 · Жалоба Я забил баг, попробу поломать голову как так выходит. А так да - главное основные счетчики :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 29 сентября, 2015 · Жалоба Я забил баг, попробу поломать голову как так выходит. А так да - главное основные счетчики :) Вот на всякий скину настройки ipcad. interface vlan4; interface vlan5; interface vlan6; interface vlan7; interface vlan8; interface vlan9; interface vlan10; interface vlan11; interface vlan12; interface vlan13; interface vlan14; interface vlan15; interface vlan16; interface vlan17; interface vlan18; interface vlan19; interface vlan20; interface vlan21; interface vlan22; interface vlan23; interface vlan24; interface vlan25; interface vlan26; interface vlan27; interface vlan28; interface vlan29; interface vlan30; interface vlan31; interface vlan32; interface vlan33; interface vlan34; interface vlan35; interface vlan36; interface vlan37; interface vlan38; interface vlan39; interface vlan40; interface vlan41; interface vlan42; interface vlan43; interface vlan44; interface vlan45; interface vlan46; interface vlan47; interface vlan48; interface vlan49; interface vlan50; # Use port detalisation capture-ports disable; netflow export destination 91.**.**.** 2055; netflow export version 5; # NetFlow export format version {1|5} netflow timeout active 30; # Timeout when flow is active, in minutes netflow timeout inactive 30; # Flow inactivity timeout, in seconds netflow engine-type 73; # v5 engine_type; 73='I' for "IPCAD" netflow engine-id 2; # Useful to differentiate multiple ipcads. dumpfile = /var/ipcad2/ipcad2.dump; pidfile = /var/ipcad2/ipcad2.pid; memory_limit = 16m; uid = 65534; gid = 65534; Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...