Re: [FYI] Cisco erkl?rt Krieg gegen W?rmer

To: Florian Weimer <fw@xxxxxxxxxxxxx>
Subject: Re: [FYI] Cisco erkl?rt Krieg gegen W?rmer
From: Gert Doering <gert@xxxxxxxxxxxxxx>
Date: Thu, 20 Nov 2003 22:47:03 +0100
Cc: Gert Doering <gert@xxxxxxxxxxxxxx>, Joerg-Olaf Schaefers <listen@xxxxxx>, debate@xxxxxxxxxxxxxx
In-reply-to: <20031120213827.GA12845@xxxxxxxxxxxxx>; from fw@xxxxxxxxxxxxx on Thu, Nov 20, 2003 at 10:38:27PM +0100
List-help: <mailto:debate-help@lists.fitug.de>
List-id: <debate.lists.fitug.de>
List-post: <mailto:debate@lists.fitug.de>
List-subscribe: <mailto:debate-subscribe@lists.fitug.de>
List-unsubscribe: <mailto:debate-unsubscribe@lists.fitug.de>
Mailing-list: contact debate-help@xxxxxxxxxxxxxx; run by ezmlm
References: <144172973883.20031119175640@xxxxxx> <20031119185420.G23021@xxxxxxxxxxxxxx> <20031119230506.GA2824@xxxxxxxxxxxxx> <20031120003409.I23021@xxxxxxxxxxxxxx> <20031120213827.GA12845@xxxxxxxxxxxxx>
User-agent: Mutt/1.2.5i

Hi,

On Thu, Nov 20, 2003 at 10:38:27PM +0100, Florian Weimer wrote:
> > Source-Interface ist ja nur die halbe Miete.  An Peering-Punkten mit
> > Ethernet will man ueblicherweise auch noch die MAC-Adresse der
> > Gegenstelle.
> 
> Unter der Annahme, daß es Switches am Markt gibt, die sich in dieser
> Konfiguration stabil betreiben lassen, würde ich hier den
> Switch-Betreiber in der Pflicht sehen, an einem SPAN/Monitor-Port
> (der meinetwegen nur Fast Ethernet liefert, um gewissen Begehrlichkeiten
> entgegenzutreten) ein Detektionsgerät zu betreiben.

Hilft Dir nur, wenn Du just in diesem Moment (wenn der DoS laeuft) Zugriff
auf den Monitor-Port hast, und dann auch schon weisst, wonach Du suchst.

Meistens sind das kurze Dinger (10-15 Minuten), und bis man rausgefunden
hat, warum irgendwelche obskuren Probleme aufgetreten sind, ist es schon
wieder vorbei.  Mit Mac-Accounting (was zyklisch ausgelesen wird,
natuerlich) sieht man das dann nachtraeglich "noch ganz gut".

> > Mit Mac-Accounting kriegt man sowas bei typischen DoS-Bursts schon raus -
> > wenn es denn fuer IPv6 implementiert waere...
> Trotzdem fehlt irgendwo ein richtiges Werkzeug. Haben die neueren
> Netflow-Versionen nicht MAC-Adress-Export?

Haben sie, tun sie aber nicht, weder fuer IPv4 noch fuer IPv6...

[..]
> Andere Frage (weil Cisco am oberen Ende ja nur wenig
> Multiprotokollrouter anbieten): Kannst Du, wenn ein IPv6-Angriff läuft,
> überhaupt noch _irgendwas_ mit dem Router messen? 8-)

Das, was wir bisher abbekommen haben, bewegte sich im Rahmen von 10-70
Mbit/s. - *wenn* IPv6 CEF an ist (was andere Probleme mit sich bringt,
leider), stecken die betreffenden 7200er das locker weg - das ist dann
genauso performant wie IPv4.

Ohne IPv6 CEF (so war das am Anfang) faellt die Kiste bei ca. 15 Mbit/s. 
tot um, soll heissen, 100% CPU und keine Reaktion mehr.

gert
-- 
USENET is *not* the non-clickable part of WWW!
                                                           //www.muc.de/~gert/
Gert Doering - Munich, Germany                             gert@xxxxxxxxxxxxxx
fax: +49-89-35655025                        gert@xxxxxxxxxxxxxxxxxxxxxxxxxxxxx

-- 
To unsubscribe, e-mail: debate-unsubscribe@xxxxxxxxxxxxxx
For additional commands, e-mail: debate-help@xxxxxxxxxxxxxx

Follow-Ups:
- Re: [FYI] Cisco erkl?rt Krieg gegen W?rmer
  - From: Florian Weimer

References:
- [FYI] Cisco erklärt Krieg gegen Würmer
  - From: Joerg-Olaf Schaefers
- Re: [FYI] Cisco erklärt Krieg gegen Würmer
  - From: Gert Doering
- Re: [FYI] Cisco erklärt Krieg gegen Würmer
  - From: Florian Weimer
- Re: [FYI] Cisco erkl?rt Krieg gegen W?rmer
  - From: Gert Doering
- Re: [FYI] Cisco erkl?rt Krieg gegen W?rmer
  - From: Florian Weimer

Prev by Date: Re: [FYI] Cisco erkl?rt Krieg gegen W?rmer
Next by Date: Re: [FYI] Cisco erkl?rt Krieg gegen W?rmer
Previous by thread: Re: [FYI] Cisco erkl?rt Krieg gegen W?rmer
Next by thread: Re: [FYI] Cisco erkl?rt Krieg gegen W?rmer
Index(es):
- Date
- Thread