asa e, si tim si dizzy au dreptate...se pare ca o sa am cam
multa treaba...
merci
-----
Avoid the Gates of Hell. Use Linux!
On Mon, 15 Apr 2002, Bogdan Surdu wrote:
> Stiu..oricum sistemul trebuie sa tina minte si sa analizeze mai multe
> minute in urma daca vrei sa fie eficient.
> Chestia cu 70% din trafic, iar pica..pentru ca un flood poate sa fie si
> unul
> de 10Mbps care poate inneca sirma de 128Kbps a unui client.
> Sistemul trebuie sa fie destul de scalabil sa poti defini "pattern"-uri
> de
> trafic care se considera flood..de ex:
> - nr de pachete / sec mai mare de X
> - surse distincte / sec mai mult de X
> - trafic bps/sec catre un IP mai mare de X
>
> Depinde cit de real-time-response vrei de la aplicatie..daca nu e critic
> X-urile pot sa fie destul de mari.
>
> -----Original Message-----
> From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED]] On Behalf Of Marius
> PREDOIU
> Sent: Monday, April 15, 2002 5:56 PM
> To: [EMAIL PROTECTED]
> Subject: [rlug] Re: flood-detector
>
>
> separe ca ai dreptate cu dimensiunea, insa poti schimba cu
> ip flow-cache timeout active x (in minute, cel putin 1)
>
> -----
> Avoid the Gates of Hell. Use Linux!
>
>
> On Mon, 15 Apr 2002, Bogdan Surdu wrote:
>
> >
> > Cel mai simplu, dar nu cel mai eficient.. Sa te vad eu pe tine cum
> > bagi 150k inregistrari pe secunda si cum analizezi 5*60*150K
> > inregistrari. Ca sa analizezi dos-uri in timp real trebuie sa faci
> > niste super hash-uri in memorie in care sa pastrezi statistici pe
> > fiecare destinatie (cite flow-uri au fost in ultima perioada de timp,
> > cit trafic, pachete pe secunda, surse distincte/sec). In concluzie nu
> > este un task easy..Atentie ca flow-ul de cisco s-ar putea sa-ti vina
> > prea tirziu (daca este un trafic constant de xMbps ICMP de la o sursa
> > catre o destinatie, cisco-ul il vede ca un flow active si exporta doar
>
> > la 10 min informatii de trafic).
> >
> > Tim
> > --
> > I have not lost my mind, it's backed up on disk somewhere...
> >
> > On Mon, 15 Apr 2002 [EMAIL PROTECTED] wrote:
> >
> > > On Mon, 15 Apr 2002, Marius PREDOIU wrote:
> > >
> > > > salut,
> > > > incerc sa fac un flood detector: export flow-urile de pe cisco si
> > > > pe un linux captez flow-rile si cam atat...acum ar urma partea de
> > > > analiza a flow-rilor...daca cineva s-a confruntat cu aceasta
> > > > problema il rog sa-mi spuna pe unde as putea gasi ceva
> > > > documentatie merci
> > >
> > > Cel mai simplu exporti flow-ul intr-un mysql si la un interval de 5
> > > minute sa zicem rulezi un script in perl care verifica daca mai mult
>
> > > de 70% din traficul din flow e spre o anumita adresa/clasa. in cazul
>
> > > in care e consideri ca acel ip e floodat si rulezi script care
> > > routeaza prin BGP ip-ul floodat cu un route-map specific si ai
> > > scapat de flood
> > >
> > >
> > > >
> > > > -----
> > > > Avoid the Gates of Hell. Use Linux!
> > > >
> > > >
> > > > ---
> > > > Pentru dezabonare, trimiteti mail la
> > > > [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'.
> > > > REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
> > > >
> > > >
> > >
> > > --
> > > Nelu Varvas
> > > ----------------------------
> > > Tehnical Manager
> > > PCNET DATA NETWORK SA - Cluj
> > >
> > > ---
> > > Pentru dezabonare, trimiteti mail la
> > > [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'.
> > > REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
> > >
> > >
> >
> > ---
> > Pentru dezabonare, trimiteti mail la
> > [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'.
> > REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
> >
> >
> >
>
> ---
> Pentru dezabonare, trimiteti mail la
> [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'.
> REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
>
>
>
> ---
> Pentru dezabonare, trimiteti mail la
> [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'.
> REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
>
>
>
---
Pentru dezabonare, trimiteti mail la
[EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'.
REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
