Výhody a omezení používání sFlow pro sledování sítí

Rozdíl mezi sFlow a NetFlow:

NetFlow – obecný protokol pro export agreagovaného IP flow. Jako takový je především vhodný pro přenos protokolu IP. NetFlow V9 může zpracovat i provoz na vrstvě 2).

sFlow – je univerzální síťová technologie pro zpracování síťového provozu. sFlow je navržen tak, aby zpracoval data jakéhokoliv síťového provozu a poskytoval o něm údaje (na vrstvách 2, 3, 4 až 7). sFlow je systém vzorkování provozu, kdy je zachycen každý 100 paket (počet paketů lze konfigurovat). sFlow je zabudován do hardwaru, proto má minimální požadavky na zdroje.

V podstatě lze říci, že NetFlow je založen na IP protokolu, zatímco sFlow je na protokolu nezávislý.

 

Výhody využití sFlow technologie pro sledování sítě:

Pokud síťová zařízení podporují sFlow může být sledováno spousta protokolů jako například VoIP, data, video atd., jedinou aplikací (siťový analyzér) bez nutnosti implementovat další HW nebo SW pro tento účel.

sFlow může být použito softwarovými nástroji jako například zmíněný síťový analyzér pro monitorování desítek tisíc přepínačů, routerů a jiných najednou. sFlow může velmi jednoduše monitorovat linky o velikosti až 10 Gbps.

sFlow je používán mnoha výrobci a podporován velkou většinou technologií.

Některé síťové analyzéry dovolují přistupovat k sFlow skrze webové rozhraní.

sFlow je implementován v hardware (přepínače, routery atd. – ASIC), čímž pádem může operovat v rychlosti linky bez toho, aby byl rapidně omezen výkon HW.

Protože sFlow používá network sampling [(vzorky síťového provozu) přeposílá jeden paket z ‘n’ počtu paketů] pro analýzu, není náročný na zdroje (čas procesoru, paměť …). Sampling se odehrává na ASICu (integrovaný obvod) hardwaru a proto je velmi jednoduchý a více přesný.

sFlow je technologie využívající PUSH. sFlow agenti v přepínačích, routerech neustále tlačí vzorky dat do sFlow sběračů (collector). Tím pádem nevznikají špičky a nedochází k network cengestion (ucpání linky).

sFlow nemonitoruje pouze síťové linky a porty, ale dává také přehled o každém serveru nebo PC v síti a to bez nutnosti instalace softwaru ne tyto stanice.

sFlow je velmi škálovatelný a může monitorovat, která má více než 1 milion portů.

sFlow je efektivnější než SNMP pro polling, protože tlačí vlastní počty do centrálního sběrače společně se vzorky paketů. XDR, který sFlow používá je efektivnější a jednodušší než ASN1, používaný protokolem SNMP. Proto je nárok na CPU nižší.

sFlow používá pouze jeden centrální sběrač provozu, proto je jednodušší implementovat nové dekodéry protokolů na něj, namísto implementace do firmwaru jednotlivých zařízení na síti.

To, že sFlow neustále tlačí informace do sběrače je možné sledovat síť v reálném čase.

Díky vzorkování sFlow není nutné udržovat velké množství paměti pro tento samotný proces (sledování datového toku), který je bez sFlow na paměť náročný.

Protože sFlow neanalyzuje všechny pakety, požadavky na zdroje CPU jsou daleko menší než u klasické analýzy provozu.

Omezení sFlow:

sFlow neposkytuje detaily jednotlivých paketů pro kompletní analýzu sítě a stejně tak nemá přístup k informacím o každém paketu, který je vyžadován při exertním zkoumání paketů.

sFlow odesílá několik streamů nešifrovaného textu, což může být bezpečnostním rizikem.

Přesnost analýzy sFlow závisí na počtu zvolených vzorků. Čím více vzorků, tím je analýza přesnější. Typ vzorkování (uni-directional nebo bi-directional) také hraje velkou úlohu v přesnosti analýzy sFlow. Frekvence vzorků a jejich nastavení je závislé na výrobci.

Všechny přepínače, routery na síti musí podporovat sFlow pro efektní a ucelenou analýzu sítě. Monitorování hranničních bodů nemusí pro komprezivní analýzu postačovat.

Pokud se pracuje s velkým množstvím sFlow zařízenní, bandwith pro sFlow procesy bude mít značný dopad (0.5% extra provozu).

Problém se signaturami malwaru. Signatura nebo její podstatná část se musí vlézt do vzorku paketu. Vzhledem k velikosti vzorku tak může být výzvou například odhalit DoS útok.

 

Original article @ http://www.excitingip.com

DDoS útok, který zabil půlku internetu

screen-shot-2015-03-30-at-7-18-12-pm

 

Jistě máte v živé paměti DDoS útok z minulého týdne na DYN, který dostal na kolena takové giga websajtny jako Spotify, Twitter, Netflix, Github, Heroku a spoustu dalších.

Odhaduje se, že se na útoku podílelo 50 – 100 000 botů (většinou zařízení IoT), kteří byly schopni pulnout útok, jehož sílu někteří odhadují až na 1,2 Tbps.

Oficiální vyjádření DYNu můžete najít ZDE. A jejich analýzu ZDE.

Mám takové neblahé tušení, že jsme ještě neskončili a jsme na začátku něčeho co položí internet kompletně. Alespoň tedy na pár hodin.

 

Nemeriho černé zlato

Určitě jste si s velkým zájmem přečetli a poté sledovali kauzu dolu Darkov, který musel být uzavřen z důvodu platební neschopnosti OKD. Několik stovek zaměstnanců bylo propuštěno a podle našich informací i několik z nich spáchalo sebevraždu. Kdo si naivně myslí, že za celým případem stojí vychcanost Bakalova impéria se šeredně plete. Za pádem dolu Darkov stojí “grono węgiel” neboli “uhelná parta”, kterou neřídí nikdo jiný než člen našeho klanu pod přezdívkou NEMERI.

Nemeri v čele své party
Nemeri v čele své party

Celý příběh začal dávno před tím než vůbec Bakala získal téměř zadarmo doly a společně s bytovými jednotkami je vytuneloval. NEMERI, který nám tvrdí, že chodí na základní školu je totiž zcela dospělý jedinec (45 let). Narodil se pod zemí a pod zemí také vyrostl. Vzhledem k jeho expanzivnímu chrakteru měl neustále potřebu se roztahovat a neustále svůj podzemní příbytek rozšiřovat. Záhy zjistil, že to co vyváží z pod země není obyčejné hlína, ale uhlí. Jakmile Nemeri zjistil, že uhlí lze dokonce prodávat, neváhal ani chvíli a začal podomní prodej. Obchod kvetl a Nemeri brzy potřeboval společníka. Nehledal jej však v řadách svých známých a přátel jako Skarn nebo Vik-Or. Kumpány si najímal a podle svědectví jednoho z nich s nimi také krutě zacházel.

Nemeri odpočívá v jednom z tunelů
Nemeri odpočívá v jednom z tunelů

Během let si jeho činnosti nikdo nevšímal, stále byl malá ryba. Než se ovšem zjistilo, že Nemeri vykopává uhlí přímo naprosti těžebním strojům na dole Darkov. Miliardy v uhlí, které tak měly patřit OKD vykutal sám Nemeri se svými kumpány. Celé roky tyhle dvě party pracovali proti sobě, kdo by byl kdy řekl, že to bude OKD, které to vzdá. Nemeri dále pokračuje v kutání uhlí pro široké okolí Karviné, Frýdku Místku, Opavy a ještě jedné prdele, jejíž jméno redakce zapomněla, ale nebude nijak důležité. Objednávky uhlí můžete posílat na Nemeriho adresu:

Sprzedaż_węgla@nemeri-uhlir.pl

Nebo jej můžete přímo kontaktovat na servisním telefonu +48 906 456 898 (linka je placená, každá minuta hovoru stojí 35 zlotých).

Homosexualita není nemoc – díky Bohu pro náš klan

Makovi lietajúce ovce a jeho komunistická temná minulost není ničím proti strašnému odhalení, ke kterému se naše redakce dostala zcela nedávno. Anonymní zasílatel nám odeslal dokumenty, které usvědčují dva členy našeho klanu z obchodu z bílým masem a z prostituce. A ještě k tomu z prostituce homosexuální.

Příběh začíná setkáním dvou mladých mužů na gay parade v roce 2014. Na fotografii níže je oba vidíte na pochodu. Jde o naše členy Skarna a Paťu. Jejich pravou totožnost odhalíme za chvíli.

skarn-und-patrik
Skarn a Paťa na Gay Parade

Netrvalo dlouho a hoši si padli do oka. Společně pak navštěvovali různé akce, obráželi kavárny a restaurace. Většinou opouštěli tyto podniky bez placení a ve spěchu. Stali se tak postrachem všech restauračních provozů v jihočeském a středočeském kraji. Dlouho se jim dařilo vyhýbat se spravedlnosti až do doby, kdy je konečně u jednoho bufetu zachytila kamera veřejných záchodků. Jejich fotografie se tak objevili ve všech periodikách o gastronomii.

Po tomto fiasku se již nemohla dvojice nikde ukázat. Proto se rozhodli pro plastickou operaci. Problém však byly peníze, kterých se jich nedostávalo. Skarn proto přišel s nápadem rozjet společný projekt na pasení hošanů na hlaváku v Praze. Obchod kvetl a brzy oba milenci mohli navštívit plastického chirurga. Za necelého půl roku byli naprosto k nepoznání.

got300bucksandwanttokillamantoo_6b32691e91c4375b56a9bc23f6240193
Skarn a Paťa po plastické operaci

Jejich konta nabobtnávala a není se tedy čemu divit, že parazitování na podnicích společného stravování již nevyhledávali. Namísto toho začali rekrutovat nové a nové mladíky, které, pod slibem kariéry modela, pásli na hlaváku v Praze. Za několik měsíců byla jejich síť tak rozsáhlá, že museli rozšířit své impérium i na Masarykovo nádraží, Nuselský most, Florenc a Úřad vlády.

Zvláště znám byl jejich escort service a jejich napimpený vůz byl znám široko daleko.

Skarn & Pata Escort Service Pimpin for living
Skarn & Pata Escort Service Pimpin for living

Ale jak už to chodí padla kosa na kámen. Oba hošové zapomněli na konkurenci v podobě neziskových organizací, kterým Skarn s Paťou dlouhodobě obsazovali nejvýnosnější štatly. Oba tak byli, při falešné objednávce escortu pro jednu vládní stranu, naproto nechutně znásilněni. Šlo o tak intenzivní prožitek, že se pasáctví oba vzdali. V současné době vede tato dvojice odborovou organizaci za práva zaměstnanců v porno průmyslu a daří se jim všelijak. Na závěr ještě zcela zpřístupňujeme osobní údaje těchto dvou “kamarádů”:

Skarn – Luboš Vodička (mezi svými znám také pod přezdívkou “Prdelka”)

Paťa – Tomáš Marný (mezi svými znám také pod přezdívkou “Hrubej Pimp” nebo “Trychtýř”).

tampep_demo
Jedna z akcí organizovaných odbory
Akce z roku 2015 (na plakátu špatně uvedený datum pro nekompetentnost jednoho z organizátorů)
Akce z roku 2015 (na pakátu špatně uvedený datum pro nekompetentnost jednoho z organizátorů)

Mako a jeho ovečky

Pokračujeme dále v naší investigativní práci a odkrýváme soukromí členů našeho klanu. Po včerejším naprosto SKANDÁLNÍM odhalení mědi chtivých bratrů se nám do rukou dostal ještě více výbušný materiál.

Snad všichni znáte Maka, klanového maskota a hráče, který každému poradí, i když sám ve hře poněkud tápe. Ale kdo je tento tajemný muž z podtatranské krajiny? Na tuto otázku jsme nalezli odpověď.

Mako při vymýšlení přezdívky nebyl moc nápaditý a zvolil první dvě písmena ze jména a první dvě z příjmení. Protože se nám podařilo proniknout do jeho sítě a získat alespoň omezený přístup k jeho PC můžeme nyní s jistotou odhalit jeho pravou identitu. Makovo pravé jméno je Martin Konárik (česky Martin Větvička). Na jménu není nic záhadného, ale historie nositele tohoto jména, čili Maka, je temná jako středověk.

Martin Konárik je totiž jedním z největších chovatelů ovcí na Slovensku. Našemu štábu se podařilo vyfotografovat jeho početná stáda na pastvě.

330px-mako

Tady to máte, kam až oko dohlédne jsou ovce. A tento člověk “pýtá” goldy – nepřetržitě! I to, že nám zakrývá počet ovcí, které chová (jsou jich desetitisíce – náš reportér po dvou dnech spočítal zhruba třetinu stáda a skončil na 38659 kusech) se dá přejít. Přejít se, ale nedá rasa ovcí. Jde totiž o mongolské lidožravé ovce. A zde přichází temná minulost Martina Konárika.

Podařilo se nám odhalit několik záhadných umrtí turistů v Tatrách. Za jejich zmizením stojí právě chované ovce Martina Konárika. V archivu Jednotného rolnického družstva “Rudá Fatra” se nám podařilo najít tuto fotografii s popiskem: “Ovce súdruha predsedy Konárika hodujů na imperialistickom turistovi z amerického Nju Jorku”.

149756_cd70f7

A to také vysvětluje proč nebyl chovatel nikdy potrestán. Jeho vazby na bývalé komunistické špičky v zemědělství nedovolují nikomu, aby se jen na jeho ovce zeptal, natož pak rozběhl vyšetřování. Všichni turisté jsou tak označeni jako “missing” a jejich případy uloženy k ledu. My však strach nemáme a kauzu budeme nadále sledovat.

Ostatním se nedoporučuje Konárika moc nasírat. Podle posledních informací jsou jeho kanibalistické ovce schopny letem překonávat velké vzdálenosti.

Vykutálení bratři kradli měď

http://plzensky.denik.cz/kratce/plzen-kradli-med-z-vlakove-soupravy-874844.html

Někdo by řekl, že pěkně nudná zpráva, která se v tisku objevuje každý den. Ano, byla by nudná, kdyby… Kdyby nešlo o nám dobře známou dvojici bratrů. Vik-Or Nula Jedna a jeho bratr Džef Randál se tentokrát v Plzni vydali na lup, když zjistili, že jejich skladové zásoby vykazují manko v metráži měděného drátu. Snažili se tak zalepit díru, která jim vznikla jejich nehospodárným zacházením. Ukradenou měď chtěli přetavit v obývacím pokoji staršího z bratrů.

Rozkrývá se nám tak před očima příběh “měděné mafie” z nechvalně proslulého města piva. Podle seznamu, který má redakce k dispozici, ale nezveřejňuje jej, firma obou bratří (High Voltage s.r.o.) zpracovávala pro město nejednu velmi podivně vypadající zakázku. Především v oblasti veřejného osvětlení. Jak vypadá jejich práce ukazuje následující fotografie, kterou jsme pořídili na místě.

giphy

Jak vidno nesvítí vůbec nic, protože podle našich informací, došla oběma lapkům během instalace měď.

Celý případ bude mít tak dohru u Plzeňského soudu. Vzhledem k pověsti uvedené instituce a majetku, který stačili oba bratři zpeněžit, se očekává osvobozující rozsudek.

Hello tankerz!

Jak jste si jiz stacili vsimnout nas TS nefunguje jiz. Proc?

Pro klan nasi velikosti je TS znacne nevyhodny. Nejenom, ze me stoji penize, ale je take nutne se starat o jeho udrzbu, aktualizace apod. a na to bych se pratele, mohl vysrat. Tim padem jsem dospel k zaveru, ze nejlepsim resenim bude se prestehovat na jinou verejne dostupnou sluzbu, o kterou se staraji jini a ktera nic nestoji.

Zavislakem na jine hre (WoW) mi byl doporucen discord a z prozatimnich zkusenosti muzu rict, ze je to sluzba naprosto kvalitativne na vyssi urovni nez TS.

Proto vsichni vy, kteri jste tak jeste neucinili stahnete si klienta DISCORD pro windows. Jednoduse nainstalujte a zapnete. Zaregistrujte se na velmi jednoduchem formulari a pripojte se na nas CAP5 server. Pozvanka je zde:

https://discord.gg/FfMJ4AS

Nasledne nastaveni je jiz velmi jednoduche a rozhodne vam nekdo pomuze.