Как технически реализован мониториг TTL у провайдеров?

Question

[cssman]

Всем доброго времени суток!

Подскажите, кто-нибудь в курсе как технически реализован мониторинг TTL у провайдера?
Смотрят на IDS? Или это SPAN всего трафика в SIEM и выборка уже там?

Штатными средствами asa нельзя ли мониторить значение TTL из пакетов?

Answer 1

[chupasaurus]

На чём-то с IOS.
Штатными средствами - никак (почти - на ASA с литерой X можно поставить FirePOWER, котрых для этого циска поглотила).

Comments

[cssman]

firepower разве сможет строить отчёты по полю TTL и его соответствию\несоответствию верному значению? я так понимаю firepower больше контроль уровня приложения или я не прав?

[chupasaurus]

cssman: это ips/ids, в софте можно накрутить что угодно. Отчёты такого типа можно выжать из простой связки ASA → netflow v9 → скрипт-анализатор.

Answer 2

[cssman]

Внезапно наткнулся ещё на такие штуки как rule-based span, exception span. То что будет нужно для решения проблемы. Может кому то пригодится. Выборка этих данных как раз не нагрузит канал и SIEM.