[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [FYI] Cisco erkl?rt Krieg gegen W?rmer



Hi,

On Thu, Nov 20, 2003 at 10:38:27PM +0100, Florian Weimer wrote:
> > Source-Interface ist ja nur die halbe Miete.  An Peering-Punkten mit
> > Ethernet will man ueblicherweise auch noch die MAC-Adresse der
> > Gegenstelle.
> 
> Unter der Annahme, daß es Switches am Markt gibt, die sich in dieser
> Konfiguration stabil betreiben lassen, würde ich hier den
> Switch-Betreiber in der Pflicht sehen, an einem SPAN/Monitor-Port
> (der meinetwegen nur Fast Ethernet liefert, um gewissen Begehrlichkeiten
> entgegenzutreten) ein Detektionsgerät zu betreiben.

Hilft Dir nur, wenn Du just in diesem Moment (wenn der DoS laeuft) Zugriff
auf den Monitor-Port hast, und dann auch schon weisst, wonach Du suchst.

Meistens sind das kurze Dinger (10-15 Minuten), und bis man rausgefunden
hat, warum irgendwelche obskuren Probleme aufgetreten sind, ist es schon
wieder vorbei.  Mit Mac-Accounting (was zyklisch ausgelesen wird,
natuerlich) sieht man das dann nachtraeglich "noch ganz gut".

> > Mit Mac-Accounting kriegt man sowas bei typischen DoS-Bursts schon raus -
> > wenn es denn fuer IPv6 implementiert waere...
> Trotzdem fehlt irgendwo ein richtiges Werkzeug. Haben die neueren
> Netflow-Versionen nicht MAC-Adress-Export?

Haben sie, tun sie aber nicht, weder fuer IPv4 noch fuer IPv6...

[..]
> Andere Frage (weil Cisco am oberen Ende ja nur wenig
> Multiprotokollrouter anbieten): Kannst Du, wenn ein IPv6-Angriff läuft,
> überhaupt noch _irgendwas_ mit dem Router messen? 8-)

Das, was wir bisher abbekommen haben, bewegte sich im Rahmen von 10-70
Mbit/s. - *wenn* IPv6 CEF an ist (was andere Probleme mit sich bringt,
leider), stecken die betreffenden 7200er das locker weg - das ist dann
genauso performant wie IPv4.

Ohne IPv6 CEF (so war das am Anfang) faellt die Kiste bei ca. 15 Mbit/s. 
tot um, soll heissen, 100% CPU und keine Reaktion mehr.

gert
-- 
USENET is *not* the non-clickable part of WWW!
                                                           //www.muc.de/~gert/
Gert Doering - Munich, Germany                             gert@greenie.muc.de
fax: +49-89-35655025                        gert@net.informatik.tu-muenchen.de

-- 
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de