Stiu..oricum sistemul trebuie sa tina minte si sa analizeze mai multe minute in urma daca vrei sa fie eficient. Chestia cu 70% din trafic, iar pica..pentru ca un flood poate sa fie si unul de 10Mbps care poate inneca sirma de 128Kbps a unui client. Sistemul trebuie sa fie destul de scalabil sa poti defini "pattern"-uri de trafic care se considera flood..de ex: - nr de pachete / sec mai mare de X - surse distincte / sec mai mult de X - trafic bps/sec catre un IP mai mare de X
Depinde cit de real-time-response vrei de la aplicatie..daca nu e critic X-urile pot sa fie destul de mari. -----Original Message----- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED]] On Behalf Of Marius PREDOIU Sent: Monday, April 15, 2002 5:56 PM To: [EMAIL PROTECTED] Subject: [rlug] Re: flood-detector separe ca ai dreptate cu dimensiunea, insa poti schimba cu ip flow-cache timeout active x (in minute, cel putin 1) ----- Avoid the Gates of Hell. Use Linux! On Mon, 15 Apr 2002, Bogdan Surdu wrote: > > Cel mai simplu, dar nu cel mai eficient.. Sa te vad eu pe tine cum > bagi 150k inregistrari pe secunda si cum analizezi 5*60*150K > inregistrari. Ca sa analizezi dos-uri in timp real trebuie sa faci > niste super hash-uri in memorie in care sa pastrezi statistici pe > fiecare destinatie (cite flow-uri au fost in ultima perioada de timp, > cit trafic, pachete pe secunda, surse distincte/sec). In concluzie nu > este un task easy..Atentie ca flow-ul de cisco s-ar putea sa-ti vina > prea tirziu (daca este un trafic constant de xMbps ICMP de la o sursa > catre o destinatie, cisco-ul il vede ca un flow active si exporta doar > la 10 min informatii de trafic). > > Tim > -- > I have not lost my mind, it's backed up on disk somewhere... > > On Mon, 15 Apr 2002 [EMAIL PROTECTED] wrote: > > > On Mon, 15 Apr 2002, Marius PREDOIU wrote: > > > > > salut, > > > incerc sa fac un flood detector: export flow-urile de pe cisco si > > > pe un linux captez flow-rile si cam atat...acum ar urma partea de > > > analiza a flow-rilor...daca cineva s-a confruntat cu aceasta > > > problema il rog sa-mi spuna pe unde as putea gasi ceva > > > documentatie merci > > > > Cel mai simplu exporti flow-ul intr-un mysql si la un interval de 5 > > minute sa zicem rulezi un script in perl care verifica daca mai mult > > de 70% din traficul din flow e spre o anumita adresa/clasa. in cazul > > in care e consideri ca acel ip e floodat si rulezi script care > > routeaza prin BGP ip-ul floodat cu un route-map specific si ai > > scapat de flood > > > > > > > > > > ----- > > > Avoid the Gates of Hell. Use Linux! > > > > > > > > > --- > > > Pentru dezabonare, trimiteti mail la > > > [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. > > > REGULI, arhive si alte informatii: http://www.lug.ro/mlist/ > > > > > > > > > > -- > > Nelu Varvas > > ---------------------------- > > Tehnical Manager > > PCNET DATA NETWORK SA - Cluj > > > > --- > > Pentru dezabonare, trimiteti mail la > > [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. > > REGULI, arhive si alte informatii: http://www.lug.ro/mlist/ > > > > > > --- > Pentru dezabonare, trimiteti mail la > [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. > REGULI, arhive si alte informatii: http://www.lug.ro/mlist/ > > > --- Pentru dezabonare, trimiteti mail la [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. REGULI, arhive si alte informatii: http://www.lug.ro/mlist/ --- Pentru dezabonare, trimiteti mail la [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
