Re: [FYI] Cisco erkl?rt Krieg gegen W?rmer
Hi,
On Thu, Nov 20, 2003 at 10:38:27PM +0100, Florian Weimer wrote:
> > Source-Interface ist ja nur die halbe Miete. An Peering-Punkten mit
> > Ethernet will man ueblicherweise auch noch die MAC-Adresse der
> > Gegenstelle.
>
> Unter der Annahme, daß es Switches am Markt gibt, die sich in dieser
> Konfiguration stabil betreiben lassen, würde ich hier den
> Switch-Betreiber in der Pflicht sehen, an einem SPAN/Monitor-Port
> (der meinetwegen nur Fast Ethernet liefert, um gewissen Begehrlichkeiten
> entgegenzutreten) ein Detektionsgerät zu betreiben.
Hilft Dir nur, wenn Du just in diesem Moment (wenn der DoS laeuft) Zugriff
auf den Monitor-Port hast, und dann auch schon weisst, wonach Du suchst.
Meistens sind das kurze Dinger (10-15 Minuten), und bis man rausgefunden
hat, warum irgendwelche obskuren Probleme aufgetreten sind, ist es schon
wieder vorbei. Mit Mac-Accounting (was zyklisch ausgelesen wird,
natuerlich) sieht man das dann nachtraeglich "noch ganz gut".
> > Mit Mac-Accounting kriegt man sowas bei typischen DoS-Bursts schon raus -
> > wenn es denn fuer IPv6 implementiert waere...
> Trotzdem fehlt irgendwo ein richtiges Werkzeug. Haben die neueren
> Netflow-Versionen nicht MAC-Adress-Export?
Haben sie, tun sie aber nicht, weder fuer IPv4 noch fuer IPv6...
[..]
> Andere Frage (weil Cisco am oberen Ende ja nur wenig
> Multiprotokollrouter anbieten): Kannst Du, wenn ein IPv6-Angriff läuft,
> überhaupt noch _irgendwas_ mit dem Router messen? 8-)
Das, was wir bisher abbekommen haben, bewegte sich im Rahmen von 10-70
Mbit/s. - *wenn* IPv6 CEF an ist (was andere Probleme mit sich bringt,
leider), stecken die betreffenden 7200er das locker weg - das ist dann
genauso performant wie IPv4.
Ohne IPv6 CEF (so war das am Anfang) faellt die Kiste bei ca. 15 Mbit/s.
tot um, soll heissen, 100% CPU und keine Reaktion mehr.
gert
--
USENET is *not* the non-clickable part of WWW!
//www.muc.de/~gert/
Gert Doering - Munich, Germany gert@xxxxxxxxxxxxxx
fax: +49-89-35655025 gert@xxxxxxxxxxxxxxxxxxxxxxxxxxxxx
--
To unsubscribe, e-mail: debate-unsubscribe@xxxxxxxxxxxxxx
For additional commands, e-mail: debate-help@xxxxxxxxxxxxxx