Visualizza - Garr

More documents

Recommendations

Info

Identificazione di traffico “malevolo” (3/3) SSH scan nfdev:~$ nfdump -r /data/nfsen/profiles-data/live/router1/2009/05/20/nfcapd.200905201400 –A srcip -s record/packets "proto TCP and dport 22 and flags S and not flags AFRPU" 2009-06-04 16:59:54.057 1.80.208.239:35823 -> 2.200.199.203:22 ....S. 1 60 1 2009-06-04 16:59:39.123 1.80.208.239:44577 -> 2.200.195.226:22 ....S. 1 60 1 2009-06-04 17:01:54.084 1.80.208.239:53769 -> 2.200.237.133:22 ....S. 1 60 1 2009-06-04 17:01:31.024 1.80.208.239:60829 -> 2.200.232.39:22 ....S. 1 60 1 2009-06-04 16:59:53.279 1.80.208.239:53731 -> 2.200.199.108:22 ....S. 1 60 1 2009-06-04 17:00:28.348 1.80.208.239:34654 -> 2.200.211.104:22 ....S. 1 60 1 2009-06-04 16:59:31.080 1.80.208.239:54641 -> 2.200.194.28:22 ....S. 1 60 1 2009-06-04 16:59:18.316 1.80.208.239:34426 -> 2.200.189.162:22 ....S. 1 60 1 2009-06-04 17:00:34.093 1.80.208.239:51640 -> 2.200.212.76:22 ....S. 1 60 1 2009-06-04 16:58:54.459 1.80.208.239:58954 -> 2.200.182.14:22 ....S. 1 60 1 2009-06-04 16:59:35.459 1.80.208.239:58471 -> 2.200.195.5:22 ....S. 1 60 1 2009-06-04 17:01:01.080 1.80.208.239:52688 -> 2.200.222.197:22 ....S. 1 60 1 Summary: total flows: 105, total bytes: 6300, total packets: 105, avg bps: 214, avg pps: 0, avg bpp: 60 Time window: 2009-06-04 16:58:17 - 2009-06-04 17:05:07 Total flows processed: 565374, Records skipped: 0, Bytes read: 29400036 Sys: 0.068s flows/second: 8313834.5 Wall: 0.064s flows/second: 8823628.6 Nino Ciurleo, Alessandro Inzerilli, Simona Venuti GARR WS9, Roma, 15.06.2009 80
Tracciamento BotNet • Due indirizzi di monitoraggio e tracciamento BotNet: • Profilatura degli host BotNet Controller da una lista di server di BotNet noti • Sistema di plugin e alert per notifica ogni volta che una macchina GARR si connette a uno di questi server BotNet Nino Ciurleo, Alessandro Inzerilli, Simona Venuti GARR WS9, Roma, 15.06.2009 81
Page 1 and 2:
Tutorial Monitoring Monitorare la r
Page 3 and 4:
Perché monitorare la rete con NetF
Page 5 and 6:
Limiti delle statistiche di traffic
Page 7 and 8:
Protocolli per l’esportazione dei
Page 9 and 10:
Esempio di flusso % telnet 10.0.0.2
Page 11 and 12:
NetFlow versione 5 • Supporta sol
Page 13 and 14:
Architettura del sistema di analisi
Page 15 and 16:
Esportazione • Il protocollo NetF
Page 17 and 18:
Sampling (2/2) Contatore del router
Page 19 and 20:
Cisco vs Juniper router (2/2) • J
Page 21 and 22:
Requisiti Hardware • CPU • Mini
Page 23 and 24:
Installazione • Nfdump • pacche
Page 25 and 26:
Nfcapd • Demone che riceve i pacc
Page 27 and 28:
Nfdump (2/2) • Caratteristiche (c
Page 29 and 30: Interfaccia grafica di NfSen (1/3)
Page 31 and 32: Interfaccia grafica di NfSen (3/3)
Page 33 and 34: Profili • Costituiscono una vista
Page 35 and 36: Profili: creazione •Si possono de
Page 37 and 38: Alert •Ogni 5 minuti viene contro
Page 39 and 40: Alert: configurazione - stato • A
Page 41 and 42: Alert: configurazione - trigger •
Page 43 and 44: Alert: infos Nino Ciurleo, Alessand
Page 45 and 46: Plugin: funzionamento • Esistono
Page 47 and 48: Plugin: architettura (2/3) • Back
Page 49 and 50: Utilizzo avanzato di Nfsen/Nfdump
Page 51 and 52: Traffico suddiviso per subnet Nino
Page 53 and 54: Traffico suddiviso per subnet Nino
Page 55 and 56: SNMP vs NetFlow GINS (SNMP) Profilo
Page 57 and 58: Bogon Network Nino Ciurleo, Alessan
Page 59 and 60: ICMP su Upstream Provider Nino Ciur
Page 61 and 62: Web Server Nino Ciurleo, Alessandro
Page 63 and 64: Mail Server Nino Ciurleo, Alessandr
Page 65 and 66: Porte (plugin PortTracker) Nino Ciu
Page 67 and 68: Numeri AS (plugin AsTracker) Nino C
Page 69 and 70: TopTalkers (1/6) IP sorgenti che ha
Page 71 and 72: TopTalkers (3/6) IP più informati
Page 73 and 74: TopTalkers (5/6) con aggregazione p
Page 75 and 76: Analisi degli incidenti di sicurezz
Page 77 and 78: Tracciamento degli Host (2/2) • P
Page 79: Identificazione di traffico “male
Page 83 and 84: Tracciamento BotNet - profilo Nino
Page 85 and 86: Tracciamento Botnet - alert Nino Ci
Page 87 and 88: sFlow • Su alcuni brand di switch
Page 89 and 90: Server • Cosa: • nProbe • flo
Page 91 and 92: Installazione nProbe e collector (2
Page 93 and 94: Dettagli Nino Ciurleo, Alessandro I
Page 95 and 96: Estendere le funzionalità di Nfsen
Page 97 and 98: Scripting+nfdump • Esempio di out
Page 99 and 100: Back-end plugin Funzioni predefinit
Page 101 and 102: Variabili predefinite my $profilepa
Page 103 and 104: Comunicazione tra back-end e front-
Page 105 and 106: Esempio completo Front-end: // Rich
Page 107 and 108: Alert Action • Impostare un’azi
Page 109 and 110: Esempio: Plugin DoS • Cosa fa:
Page 111 and 112: Esempio: plugin DoS • Back-end pl
Page 113 and 114: Esempio: plugin DoS • Front-end p
Page 115 and 116: Esempio: plugin DoS • RISULTATO:
Page 117 and 118: Esempi di configurazione: JunOS (v5
Page 119 and 120: Esempi di configurazione:Cisco (v5)
Page 121 and 122: Esempi di configurazione:Cisco(v9)
Page 123 and 124: Configurazione switch • NetFlow s
Page 125: Contatti • Per informazioni potet
show all

Visualizza - Garr

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?