La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Christian Cinetto GARR Flow Passive Monitoring CCR 2003, Paestum 11/06/2003 …Analisi di traffico e sicurezza.

PubblicatoLotterio Damiani Modificato 9 anni fa

Presentazioni simili

Presentazione sul tema: "Christian Cinetto GARR Flow Passive Monitoring CCR 2003, Paestum 11/06/2003 …Analisi di traffico e sicurezza."— Transcript della presentazione:

1 Christian Cinetto GARR Flow Passive Monitoring CCR 2003, Paestum 11/06/2003 …Analisi di traffico e sicurezza

2 GARR Gruppo Passive Monitoring Christian Cinetto Michele Sciuto GARR NOC (Network Operation Center )

3 Preambolo CCR 2003 Paestum 12/06/2003 …Prima di cominciare Abbiamo uno storico del “cosa oltre che del quanto” passa nella rete? E se andassimo oltre MRTG? Interventi di sicurezza proattivi… o quasi utilizzo ACL non ottimale (non sempre risolutive, CPU alle stelle ) packet sniffing laborioso disponibilità di risorse limitata Trade-off : costo dell'accounting(disco,cpu,RAM,human) Vs. livello di dettaglio e real time desiderato

4 Monitoring CCR 2003 Paestum 12/06/2003 Christian Cinetto MONITORING Differenti approcci per scopi differenti Passive Active Analisi del traffico di produzione Sniffer-- schede dedicate (OCxMon) Built-in devices per snmp, RMON,NetFlow Analisi di performance di rete, QoS Iniezione di custom-traffic nella rete Apparati di sincronizzazione Es. GPS

5 NetFlow CCR 2003 Paestum 12/06/2003 Christian Cinetto NetFlow Feature IOS CISCO dalla 11.* (1996) Standard de facto Memorizza i flussi in una cache e permette l’export verso un collector Diversi software che permettono l’analisi (sia open-source che commerciali)

6 Flusso CCR 2003 Paestum 12/06/2003 Christian Cinetto Flow-based Passive Monitoring Un flusso NetFlow è definito come una : “ serie unidirezionale di pacchetti IP che viaggiano da una coppia IP/Porta sorgente ad una destinazione, entro un certo intervallo di tempo, avendo definito un protocollo di livello 3 ed un TOS” ES:UNICA SESSIONE TCP!!! 10.0.0.1/1900 10.0.0.2/20 Flusso B Flusso A syn syn-ack ack clientserver

7 NetFlowPdu CCR 2003 Paestum 12/06/2003 Christian Cinetto NetFlow PDU V5

8 Architettura CCR 2003 Paestum 12/06/2003 Christian Cinetto Architettura

9 Collectors CCR 2003 Paestum 12/06/2003 Christian Cinetto Collector-Tools Cflowd –CAIDA www.caida.org Difficile tuning Poco flessibile Poche utilities- no filtri Flow-Tools Facile implementazione Filtraggio possibile Vari reports Continuo aggiornamento

10 Flow-tools CCR 2003 Paestum 12/06/2003 Christian Cinetto flow-tools Insieme di tools realizzati alla Ohio State University (OSU) dal 1996 Principali tools: Flow-fanout (duplicazione) Flow-capture (collector-box) Flow-cat (concatenazione) Flow-nfilter (selezione) Flow-stat (statistiche) Flow-print (visualizzazione testo)

11 FlowScan CCR 2003 Paestum 12/06/2003 Christian Cinetto FlowScan Tool di analisi e visualizzazione (linguaggio perl) by D.Plonka Universita’ del Winsconsin Elabora i raw flow files creati da flow-tools Round Robin DataBase ---RRDtool Report per un utente GARR DEMO

12 Show-reports CCR 2003 Paestum 12/06/2003 Christian Cinetto Architettura Show-reports

13 Applicazioni CCR 2003 Paestum 12/06/2003 Christian Cinetto Applicazioni(1) Accounting / Billing Planning & Analisys Monitoring / Security Network Activity

14 AS-Matrix CCR 2003 Paestum 12/06/2003 Christian Cinetto AS-Matrix

15 Applicazioni CCR 2003 Paestum 12/06/2003 Christian Cinetto Applicazioni(2) Pattern di traffico Anomali Flash Crowd Abusi: DoS Port scans Comportamenti Anomali

16 Screen-shots CCR 2003 Paestum 12/06/2003 Christian Cinetto Visulizzazione Router Utente GARR Monitoring : Show-reports Coppia IP sorgente -IP destinazione –Porte Top n IP src, IP dst Ordinamento per bytes e per flussi Scanning IP Filtraggio on demand DEMO

17 DoS CCR 2003 Paestum 12/06/2003 Christian Cinetto DoS: un segnale Statistiche MRTG : Fast Ethernet Statistiche MRTG : ATM 34 Mbps OUT IN DoS

18 Config. CCR 2003 Paestum 12/06/2003 RC_MILANO(config)#ip flow-export source Loopback0 RC_MILANO(config)#ip flow-export version 5 origin-as RC_MILANO(config)#ip flow-export destination 193.204.x.x 8700 RC_MILANO(config)#interface ATM1/0/0 RC_MILANO(config-if)#ip route-cache flow RC_MILANO(config)#ip flow-cache timeout active 3 CONFIGURAZIONE ROUTER

19 verifica CCR 2003 Paestum 12/06/2003 RC_MILANO#if-con 0 con Entering CONSOLE for VIP2 R5K 0 Type ^C^C^C or if-quit to end this session VIP-Slot0>sh ip cache flow | include Se0/1/1 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Se0/1/1 193.206.129.x AT8/1/0.1 211.114.16.4 01 200030D 1 Se0/1/1 193.206.129.x AT8/0/0.1 61.182.254.162 01 2000 030D 1 VERIFICA

20 cattura CCR 2003 Paestum 12/06/2003 flow-capture -z4 -V5 -n288 -w/home/netfow/Statistiche/Milano-RC -E5G -S5 193.204.x.x/193.206.129.x/8700 -rw-r-r- 1 root root 100 Jan 8 17:16 ft-v05.2003-01-08.171125+0100 -rw-r-r- 1 root root 100 Jan 8 17:21 ft-v05.2003-01-08.171624+0100 -rw-r-r- 1 root root 100 Jan 8 17:26 ft-v05.2003-01-08.172123+0100 -rw-r-r- 1 root root 100 Jan 8 17:31 ft-v05.2003-01-08.172622+0100 -rw-r-r- 1 root root 92 Jan 8 17:31 tmp-v05.2003-01-08.173121+0100 flow-capture In / home/netfow/Statistiche/Milano-RC/ 2003/2003-01/2003-01- 08/ otteniamo

21 Risultati CCR 2003 Paestum 12/06/2003 bash-2.05$ flow-cat ft-v05.2003-03-13.18* |flow-stat -p -P -f9 -S2| head -30 # IPaddr flows octets packets 193.206.8.x 29912 700 27.796 193.206.195.x 5.410 12.556 8.459 193.43.65.x 9.276 9.850 9.362 193.43.65.x 8.701 8.567 4.272 193.204.199.x 0.180 6.815 1.928 193.204.111.x 3.060 4.600 4.088 193.206.158.x 4.200 3.066 3.888 192.107.86.x 0.028 2.709 2.761 192.107.80.x 2.945 2.590 1.201 193.206.158.x 0.024 2.185 0.601 Risultati

22 Riferimenti CCR 2003 Paestum 12/06/2003 christian.cinetto@garr.it michele.sciuto@garr.it noc@garr.it Riferimenti http://www.splintered.net/sw/flow-tools/ http://net.doit.wisc.edu/plonka/FlowScan/ http://www.rrdtool.org/ http://www.linuxgeek.org/netfow-howto.php http://www.ietf.org/html.charters/ipx- charter.html

23 Export

24 RT_NAPOLI>show ip flow export Flow export is enabled Exporting flows to 193.204.221.79 (8300) Exporting using source interface Loopback0 Version 5 flow records, origin-as 173356595 flows exported in 5780353 udp datagrams 0 flows failed due to lack of export packet 0 export packets were sent up to process level 0 export packets were punted to the RP 0 export packets were dropped due to no fib 0 export packets were dropped due to adjacency issues 16385 export packets were dropped enqueuing for the RP 1820823 export packets were dropped due to IPC rate limiting 0 export packets were dropped due to output drops show ip flow export Deficit DRAM sulla VIP

25 Un po’di numeri CiscoFlussi/sec (Med) Flussi/sec (Max) Bytes Per flusso Pacchetto (Bytes) GSR900017000481500 750013502000481500

Scaricare ppt "Christian Cinetto GARR Flow Passive Monitoring CCR 2003, Paestum 11/06/2003 …Analisi di traffico e sicurezza."

Presentazioni simili

DiFMon Distributed Flow Monitor Claudio Mazzariello, Francesco Oliviero, Dario Salvi.

DiFMon Distributed Flow Monitor Claudio Mazzariello, Francesco Oliviero, Dario Salvi.
Gli ipertesti del World Wide Web Funzionamento e tecniche di realizzazione a cura di Loris Tissìno (www.tissino.it)

Gli ipertesti del World Wide Web Funzionamento e tecniche di realizzazione a cura di Loris Tissìno (
Paolo Lo Re, maggio 20041 Prove di rate limiting su router Cisco P. Lo Re, INFN Napoli Workshop sulle Problematiche di Calcolo e Reti nellINFN Cagliari,

Paolo Lo Re, maggio Prove di rate limiting su router Cisco P. Lo Re, INFN Napoli Workshop sulle Problematiche di Calcolo e Reti nellINFN Cagliari,
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.

ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
SINTESI PUNTI SALIENTI Da shared bus a network on chip Concetto di nodo Standard commerciali shared bus: AMBA, Wishbone, CoreConnect Opzioni avanzate shared.

SINTESI PUNTI SALIENTI Da shared bus a network on chip Concetto di nodo Standard commerciali shared bus: AMBA, Wishbone, CoreConnect Opzioni avanzate shared.
Di INFORMATICA IL NOSTRO LABORATORIO. Presentazione Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:

Di INFORMATICA IL NOSTRO LABORATORIO. Presentazione Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
DNS: Il Servizio Directory di Internet

DNS: Il Servizio Directory di Internet
5-1 Interconnessione di LAN Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© 1996-2003 All Rights.

5-1 Interconnessione di LAN Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© All Rights.
I modelli di riferimento OSI e TCP/IP

I modelli di riferimento OSI e TCP/IP
5-1 ATM Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© 1996-2003 All Rights Reserved)

5-1 ATM Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© All Rights Reserved)
La rete in dettaglio: rete esterna (edge): applicazioni e host

La rete in dettaglio: rete esterna (edge): applicazioni e host
NESSUS.

NESSUS.
Luca Iannelli, 796032 1 Video on Demand tramite rete Approfondimento di Reti di calcolatori A.A. 2005/2006.

Luca Iannelli, Video on Demand tramite rete Approfondimento di Reti di calcolatori A.A. 2005/2006.
Chiara Francalanci Politecnico di Milano SMAU 22 Ottobre 2004.

Chiara Francalanci Politecnico di Milano SMAU 22 Ottobre 2004.
WP 2. 3.1 QoS e Architettura Riflessiva Milan – 17 november 04.

WP QoS e Architettura Riflessiva Milan – 17 november 04.
Reti di Calcolatori Domande di riepilogo Quarta Esercitazione

Reti di Calcolatori Domande di riepilogo Quarta Esercitazione
IL PATRIMONIO DI DATI - LE BASI DI DATI. Il patrimonio dei dati Il valore del patrimonio di dati: –Capacità di rispondere alle esigenze informative di.

IL PATRIMONIO DI DATI - LE BASI DI DATI. Il patrimonio dei dati Il valore del patrimonio di dati: –Capacità di rispondere alle esigenze informative di.
Prof. Bruno Ciciani Facoltà di Ingegneria Università di Roma La Sapienza Determinazione del tempo di servizio (trasferimento) di un messaggio trasmesso.

Prof. Bruno Ciciani Facoltà di Ingegneria Università di Roma La Sapienza Determinazione del tempo di servizio (trasferimento) di un messaggio trasmesso.
Giornata di incontro con i Borsisti GARR, Roma, 22.06.2010 Andrea Petricca Problematiche di rete nella sperimentazione di file-system distribuiti su WAN.

Giornata di incontro con i Borsisti GARR, Roma, Andrea Petricca Problematiche di rete nella sperimentazione di file-system distribuiti su WAN.
IDUL 2012 RETI E PROTOCOLLI. INTERNET.. IDEE PRINCIPALI IN QUESTA LEZIONE Reti: Aspetto logico della rete e tipologie: peer-to-peer, a hub, a bus Trasmissione.

IDUL 2012 RETI E PROTOCOLLI. INTERNET.. IDEE PRINCIPALI IN QUESTA LEZIONE Reti: Aspetto logico della rete e tipologie: peer-to-peer, a hub, a bus Trasmissione.

Presentazioni simili

Annunci Google