( angelo | 2021. 09. 30., cs – 11:10 )

Forgalom loggolás ISP szempontból:

- Alapvetően nem nézhetünk bele az ügyfél forgalmába, (a konkrét jogszabályi rizsát mellőzve) csak olyan mélységig analizálhatjuk a forgalmat ami a hálózat működéséhez feltételnül szükséges.

- Ez a gyakorlatban vagy semmilyen naplózást/loggolást jelent (kis cégeknél), vagy NetFlow/sFlow alapú forgalmi statisztikák gyűjtését (komolyabb szolgáltatóknál). Erre opcionálisan rájöhet pluszban még valami adat gyűjtés ha konkrétan az ügyfél rendelt DDoS / WAF / akármi más védelmet a szolgáltatása elé.

- Ilyen esetekben amit a NetFlow/sFlow logokból megkaphatott volna a szakértő a szolgáltatótól: SRC/DST IP címek, portok, packet szám és octet számok, kb ennyi. (Layer3 fejléc információk flow/session-re aggregálva) ebből be lehet határolni a támadás jellegét. Sőt (amire a szolgáltatók is használják) a támadás alatt meg lehet mondani hogy melyik ügyfelet kb mivel DDoS-olják...

Nincs konkrét kommentem a konkrét ügyben. Ezt csak azért írtam le hogy tiszta legyen hogy a szolgáltatók kb mit tudnak loggolni.

Üdv:

Angelo