Forgalom loggolás ISP szempontból:
- Alapvetően nem nézhetünk bele az ügyfél forgalmába, (a konkrét jogszabályi rizsát mellőzve) csak olyan mélységig analizálhatjuk a forgalmat ami a hálózat működéséhez feltételnül szükséges.
- Ez a gyakorlatban vagy semmilyen naplózást/loggolást jelent (kis cégeknél), vagy NetFlow/sFlow alapú forgalmi statisztikák gyűjtését (komolyabb szolgáltatóknál). Erre opcionálisan rájöhet pluszban még valami adat gyűjtés ha konkrétan az ügyfél rendelt DDoS / WAF / akármi más védelmet a szolgáltatása elé.
- Ilyen esetekben amit a NetFlow/sFlow logokból megkaphatott volna a szakértő a szolgáltatótól: SRC/DST IP címek, portok, packet szám és octet számok, kb ennyi. (Layer3 fejléc információk flow/session-re aggregálva) ebből be lehet határolni a támadás jellegét. Sőt (amire a szolgáltatók is használják) a támadás alatt meg lehet mondani hogy melyik ügyfelet kb mivel DDoS-olják...
Nincs konkrét kommentem a konkrét ügyben. Ezt csak azért írtam le hogy tiszta legyen hogy a szolgáltatók kb mit tudnak loggolni.
Üdv:
Angelo