[ITNOG] netflow e tcp flags

b.turnbow@twt.it b.turnbow@twt.it
Gio 7 Nov 2019 11:04:45 CET


Per info a tutti

Ero in contatto con fastnetmon per un evaluation del loro prodotto e mi
hanno risposto a vari domande.

La versione a pagamento di fastnetmon adesso supporta tcp flags in
flexible netflow



FastNetMon expects some minimum number of required fields in flexible
Netflow:
Source / Dest ports
Source / Dest IP
Flow lenght
Octets
Protocol
TCP Flags

I'm unsure about fragmentation flags but we support all TCP flags.



Brian Turnbow

CTO







TWT S.p.A.



From: itnog [mailto:itnog-bounces@lists.itnog.it] On Behalf Of Matteo
Berlonghi
Sent: Wednesday, November 6, 2019 1:21 PM
To: b.turnbow@twt.it; itnog@lists.itnog.it
Subject: Re: [ITNOG] netflow e tcp flags



Ciao,

 no non lo supporta. Se serve solo l' identificazione guarda WANsight puoi
lavorare sulle custom expressions, creare custom decoders etc.

Non usarlo per la mitigazione però perchè è inguardabile.

Il 06/11/2019 13:14, Brian Turnbow via itnog ha scritto:

Ieri sera al minog abbiamo parlato del utilizzo di netflow   con tcp syn
flag utili per ddos detection e volevo inviare questa presentazione di
cisco live.

Ci sono dei bei esempi sul utilizzo di “flexible netflow” per raccogliere
anche i flag tcp , utili per identificare syn flood….





https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2015/pdf/BRKNMS-3132
.pdf





Qualcuno sa se fastnetmon supporta tcp flags da netflow?

Nella version opensource mi pare proprio di no

Ma forse nella versiona a pagamento



Brian





Brian Turnbow

CTO







TWT S.p.A.

Viale Edoardo Jenner 33, Milano (Italy)

Ph. +39 02 89089.1

Fax +39 02 89089.211

 <mailto:b.turnbow@twt.it> b.turnbow@twt.it

 <http://www.twt.it> www.twt.it









--
Matteo Berlonghi
Chief Technical Officer
mail: matteob@seflow.net <mailto:matteob@seflow.net>
tel: +39.02 56566235 ext. 6
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.itnog.it/pipermail/itnog/attachments/20191107/f1f64e8b/attachment.htm>
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        image001.png
Tipo:        image/png
Dimensione:  6041 bytes
Descrizione: non disponibile
URL:         <http://lists.itnog.it/pipermail/itnog/attachments/20191107/f1f64e8b/attachment.png>


Maggiori informazioni sulla lista itnog