Re: [Noc] [AMS-IX #11463] Decrease of inbound traffic in TIWS AS12956 inAMS-IX. Gesip#31745
sja, dat krijg je als je teveel partijen depeered. Muhahaha Frans ----- Original Message ----- From: cic.noc at wholesale.telefonica.com To: noc at ams-ix.net ; tech-l at ams-ix.net Cc: mariano.calvocardin at wholesale.telefonica.com ; cic.noc at wholesale.telefonica.com Sent: Friday, December 09, 2005 12:44 AM Subject: [Noc] [AMS-IX #11463] Decrease of inbound traffic in TIWS AS12956 inAMS-IX. Gesip#31745 Dear peer, we have detected a decrease of inbound traffic to TIWS (AS12956) in our public peer connection in Amsterdam TIWS IP address: 195.69.144.177 Do you have any problem to explain this issue? Could you please investigate? Thanks in advance and best regards, Esther Fern?ndez ----------------------------------------------------------------------------------------------------------------------- CENTRO INTERNACIONAL DE CONTROL - OPERACIONES NOC Red Internacional - AS12956 - International NOC Telefonica International Wholesale Services (TIWS) Madrid, Spain. Phone: +34 91 452 2550 mailto: cic.noc at telefonica-wholesale.com ----------------------------------------------------------------------------------------------------------------------- ------------------------------------------------------------------------------ _______________________________________________ tech-l mailing list tech-l at ams-ix.net http://melix.ams-ix.net/mailman/listinfo/tech-l ------------------------------------------------------------------------------ _______________________________________________ Noc mailing list Noc at lists.nl.wanadoo.com http://lists.nl.wanadoo.com/mailman/listinfo/noc
Frans ter Borg wrote:
sja, dat krijg je als je teveel partijen depeered.
Hi Frans, Ik ben trouwens wel benieuwd hoe ze dat doen; per peer verkeersstatisiteken bijhouden. Zoiets wil ik ook wel :-). Ongetwijfeld doen ze iets 'stoers' met Netflow. Wie heeft er tips? Dat scheelt mij misschien weer een hoop uitzoekwerk, waarvoor ik momenteel even geen tijd heb. Wat ik ook graag wil weten is een 'top tien' van AS-sen waar wij verkeer mee uitwisselen, maar nog niet direct mee peeren. Misschien is dat nog wel simpeler? Zou je dat in de router zelf kunnen opvragen? Vast wel. Iets met een 'sh ip cache flow...'? -- Marco
Muhahaha
Frans
----- Original Message ----- *From:* cic.noc at wholesale.telefonica.com <mailto:cic.noc at wholesale.telefonica.com> *To:* noc at ams-ix.net <mailto:noc at ams-ix.net> ; tech-l at ams-ix.net <mailto:tech-l at ams-ix.net> *Cc:* mariano.calvocardin at wholesale.telefonica.com <mailto:mariano.calvocardin at wholesale.telefonica.com> ; cic.noc at wholesale.telefonica.com <mailto:cic.noc at wholesale.telefonica.com> *Sent:* Friday, December 09, 2005 12:44 AM *Subject:* [Noc] [AMS-IX #11463] Decrease of inbound traffic in TIWS AS12956 inAMS-IX. Gesip#31745
Dear peer,
we have detected a decrease of inbound traffic to TIWS (AS12956) in our public peer connection in Amsterdam
TIWS IP address: 195.69.144.177
Do you have any problem to explain this issue? Could you please investigate?
Thanks in advance and best regards, Esther Fern?ndez ----------------------------------------------------------------------------------------------------------------------- CENTRO INTERNACIONAL DE CONTROL - OPERACIONES NOC Red Internacional - AS12956 - International NOC Telefonica International Wholesale Services (TIWS) Madrid, Spain. Phone: +34 91 452 2550 mailto: cic.noc at telefonica-wholesale.com <mailto:cic.noc at telefonica-wholesale.com> -----------------------------------------------------------------------------------------------------------------------
_______________________________________________ tech-l mailing list tech-l at ams-ix.net http://melix.ams-ix.net/mailman/listinfo/tech-l
_______________________________________________ Noc mailing list Noc at lists.nl.wanadoo.com http://lists.nl.wanadoo.com/mailman/listinfo/noc
------------------------------------------------------------------------
_______________________________________________ NLNOG mailing list NLNOG at nlnog.net http://mailman.nlnog.net/mailman/listinfo/nlnog
-- Marco Davids SARA High Performance Networking - Amsterdam Phone: +31205928000 Fax: +31847452840 SIP:8016 at sara.nl (IPv4 only)
Hi, | Wie heeft er tips? Dat scheelt mij misschien weer een hoop uitzoekwerk, | waarvoor ik momenteel even geen tijd heb. Ik heb dit in 2004 geschreven (in C). Het pakt netflow op en geeft top-10 sprekers en luisteraars per interface van je netflow sprekers, en dat dan voor IPv4 adressen zowel als destination AS nummers. Het heet YANA (yet another netflow analyzer); als je geen zin of tijd hebt om ernaar te kijken, is YANA misschien ook niet voor jou :) het opzetten kost wel wat tijd en effort. | Wat ik ook graag wil weten is een 'top tien' van AS-sen waar wij verkeer | mee uitwisselen, maar nog niet direct mee peeren. Dit haal je uit netflow, je peering AS:en niet. | Misschien is dat nog wel simpeler? Zou je dat in de router zelf | kunnen opvragen? Vast wel. Iets met een 'sh ip cache flow...'? Dat weet ik niet. -- Met vriendelijke groet, BIT BV / Ing P.B. van Pelt PBVP1-RIPE (PGPKEY-4DCA7E5E)
On Fri, 2005-12-09 at 09:05 +0100, Marco Davids (SARA) wrote:
Ik ben trouwens wel benieuwd hoe ze dat doen; per peer verkeersstatisiteken bijhouden. Zoiets wil ik ook wel :-). Ongetwijfeld doen ze iets 'stoers' met Netflow.
Zie: https://www.ams-ix.net/connected/show_member.html?id=c2e819e650e10333edf7b29... Dit gaat over hun 195.69.144.177 poort, en dat is gewoon een GE poort. het grafiekje laat ook een GE poort zien. Niks geen slim gevogel met netflow, gewoon domme MRTG grafiek en een mail naar al hun peers (en AMS-IX NOC) met de vraag of er misschien iets mis is... Ik vermoed dat ze zelfs te lui zijn geweest om een "show bgp summary" te draaien.
Wie heeft er tips? Dat scheelt mij misschien weer een hoop uitzoekwerk, waarvoor ik momenteel even geen tijd heb.
Bento? <plug type="shameless" for="friend"> http://www.gadgets.co.nz/gadgets/products.shtml </plug> Steven -- "I'm not close-minded, you're just wrong" -- Bucky Katt
On 9 dec 2005, at 09:51, Steven Bakker wrote:
On Fri, 2005-12-09 at 09:05 +0100, Marco Davids (SARA) wrote:
Ik ben trouwens wel benieuwd hoe ze dat doen; per peer verkeersstatisiteken bijhouden. Zoiets wil ik ook wel :-). Ongetwijfeld doen ze iets 'stoers' met Netflow.
Dit gaat over hun 195.69.144.177 poort, en dat is gewoon een GE poort. het grafiekje laat ook een GE poort zien. Niks geen slim gevogel met netflow, gewoon domme MRTG grafiek en een mail naar al hun peers (en AMS-IX NOC) met de vraag of er misschien iets mis is... Ik vermoed dat ze zelfs te lui zijn geweest om een "show bgp summary" te draaien.
En dan nog hadden ze moeten weten hoeveel prefixes bepaalde peers gewoonlijk announcen, want er was niks down vanuit het oogpunt van AMS-IX. Alle poorten waren gewoon up, en ik heb geen enkele BGP flap gezien naar AS1200.
Marco, At 09:05 9-12-2005, Marco Davids (SARA) wrote:
Ik ben trouwens wel benieuwd hoe ze dat doen; per peer verkeersstatisiteken bijhouden. Zoiets wil ik ook wel :-). Ongetwijfeld doen ze iets 'stoers' met Netflow.
Wie heeft er tips? Dat scheelt mij misschien weer een hoop uitzoekwerk, waarvoor ik momenteel even geen tijd heb.
mac-accounting draaien op je public lan interface en dan pollen via snmp. In rrd databases stoppen en graphen maar. Enige lastige, je moet het wel dynamisch maken want als men het mac-address verwisseld klopt je snmp string niet meer. Cisco's ondersteunen mac-accounting op engine 2 & 3, (engine 0 en 1 ook geloof ik maar dan gaat het ten koste van de forwarding van de kaart) junipers ondersteunen het met een q-pic of de nieuwe gig-pic. De oude ondersteunt het niet, voor zover ik weet. voorbeeldscriptje: http://www.thiscow.com/dl/bgp-peers-1.5.pl Leuke bijkomstigheid is ook dat je ook eventueel verkeer kan zien van mensen met wie je niet peert, mooie security check dus. Equinix houdt mac-to-mac traffic bij op hun platform en grapht dat ook voor je. Kan je inloggen op de portal en verkeer zien van je peers. Misschien iets voor AMSIX? groetjes Frank
Wat ik ook graag wil weten is een 'top tien' van AS-sen waar wij verkeer mee uitwisselen, maar nog niet direct mee peeren. Misschien is dat nog wel simpeler? Zou je dat in de router zelf kunnen opvragen? Vast wel. Iets met een 'sh ip cache flow...'?
-- Marco
Muhahaha
Frans
----- Original Message ----- *From:* cic.noc at wholesale.telefonica.com <mailto:cic.noc at wholesale.telefonica.com> *To:* noc at ams-ix.net <mailto:noc at ams-ix.net> ; tech-l at ams-ix.net <mailto:tech-l at ams-ix.net> *Cc:* mariano.calvocardin at wholesale.telefonica.com <mailto:mariano.calvocardin at wholesale.telefonica.com> ; cic.noc at wholesale.telefonica.com <mailto:cic.noc at wholesale.telefonica.com> *Sent:* Friday, December 09, 2005 12:44 AM *Subject:* [Noc] [AMS-IX #11463] Decrease of inbound traffic in TIWS AS12956 inAMS-IX. Gesip#31745
Dear peer,
we have detected a decrease of inbound traffic to TIWS (AS12956) in our public peer connection in Amsterdam
TIWS IP address: 195.69.144.177
Do you have any problem to explain this issue? Could you please investigate?
Thanks in advance and best regards, Esther Fern?ndez
-----------------------------------------------------------------------------------------------------------------------
CENTRO INTERNACIONAL DE CONTROL - OPERACIONES NOC Red Internacional - AS12956 - International NOC Telefonica International Wholesale Services (TIWS) Madrid, Spain. Phone: +34 91 452 2550 mailto: cic.noc at telefonica-wholesale.com <mailto:cic.noc at telefonica-wholesale.com>
-----------------------------------------------------------------------------------------------------------------------
_______________________________________________ tech-l mailing list tech-l at ams-ix.net http://melix.ams-ix.net/mailman/listinfo/tech-l
_______________________________________________ Noc mailing list Noc at lists.nl.wanadoo.com http://lists.nl.wanadoo.com/mailman/listinfo/noc
------------------------------------------------------------------------
_______________________________________________ NLNOG mailing list NLNOG at nlnog.net http://mailman.nlnog.net/mailman/listinfo/nlnog
-- Marco Davids SARA High Performance Networking - Amsterdam Phone: +31205928000 Fax: +31847452840 SIP:8016 at sara.nl (IPv4 only)
_______________________________________________ NLNOG mailing list NLNOG at nlnog.net http://mailman.nlnog.net/mailman/listinfo/nlnog
Hi! Ik heb het al aantal keer via hun abuse en helpdesk geprobeerd, mar dat lijkt net een zwart gat, dan maar wat publieker... Is er iemand met clue bij in of om Rokscom die we kunnen benaderen voor het verwijderen van een hardcore pillen spammert op hun netwerk? Adding to blacklist: broadbandhoodia. com [83.98.178.40] (blacklisted IP address found: 83.98.178.40) Adding to blacklist: travelhoodia. com [83.98.178.40] (blacklisted IP address found: 83.98.178.40) Adding to blacklist: beautyhoodias. com [83.98.178.40] (blacklisted IP address found: 83.98.178.40) Adding to blacklist: hoodiazfoodia. com [83.98.178.40] (blacklisted IP address found: 83.98.178.40) Adding to blacklist: safessthoodia. com [83.98.178.40] (blacklisted IP address found: 83.98.178.40) Adding to blacklist: iluvmahoodiaa. com [83.98.178.40] (blacklisted IP address found: 83.98.178.40) Adding to blacklist: hoodialiberta. com [83.98.178.40] (blacklisted IP address found: 83.98.178.40) Adding to blacklist: nitroshhoodia. com [83.98.178.40] (blacklisted IP address found: 83.98.178.40) Adding to blacklist: eastcoasthoodia. com [83.98.178.40] (blacklisted IP address found: 83.98.178.40) En zo hebben we nog een hele verzameling andere troep die die lui hosten. We hebben pak um beet 300.000 spams van ze ontvangen, en deze doosjes hosten de spamvertized sites. Begin ut een beetje beu te worden ;) Mischien moeten we maar wat meer URLs in SURBL droppen, zouden ze dan wakker worden? route: 83.98.176.0/22 descr: iQarus origin: AS29073 mnt-by: ROKSCOM-MNT source: RIPE # Filtered Alle domains zijn hosted op ns1.twentyyfive.com, tot nu to rond de 150 domein namen die ze door botnetjes rond laten spammen.... Dat is alleen waar we ook spam van ontvangen hebben, de echte lijst zal neem ik aan een flink stuk groter zijn. Bij voorbaat dank, Raymond Dijkxhoorn.
Hoi,
Ik heb het al aantal keer via hun abuse en helpdesk geprobeerd, mar dat lijkt net een zwart gat, dan maar wat publieker...
Is er iemand met clue bij in of om Rokscom die we kunnen benaderen voor het verwijderen van een hardcore pillen spammert op hun netwerk? ... En zo hebben we nog een hele verzameling andere troep die die lui hosten. We hebben pak um beet 300.000 spams van ze ontvangen, en deze doosjes hosten de spamvertized sites.
Begin ut een beetje beu te worden ;) Mischien moeten we maar wat meer URLs in SURBL droppen, zouden ze dan wakker worden?
route: 83.98.176.0/22 descr: iQarus origin: AS29073 mnt-by: ROKSCOM-MNT source: RIPE # Filtered
Zover ik weet is iQarus annex Colinks annex Linkup annex Reinier van Eeden een transit/colocation klant van Rokscom. Ik heb hem eerder kunnen bereiken op: r.eeden at nl.iqarus.com Tech contact bij Rokscom is zover ik weet Daniel van Wijnen ofwel daniel at rokscom.nl Er was ook nog een techneut Pieter ofwel pieter at rokscom.nl Groeten, Jan. -- Jan Hoogenboom <jan at openpeering.nl> Open Peering Raamweg 17, 2596 HL Den Haag, Holland +31 (0)70 363 16 61
Hi Jan, (thanks)
Is er iemand met clue bij in of om Rokscom die we kunnen benaderen voor het verwijderen van een hardcore pillen spammert op hun netwerk? ... En zo hebben we nog een hele verzameling andere troep die die lui hosten. We hebben pak um beet 300.000 spams van ze ontvangen, en deze doosjes hosten de spamvertized sites.
Begin ut een beetje beu te worden ;) Mischien moeten we maar wat meer URLs in SURBL droppen, zouden ze dan wakker worden?
route: 83.98.176.0/22 descr: iQarus origin: AS29073 mnt-by: ROKSCOM-MNT source: RIPE # Filtered
Zover ik weet is iQarus annex Colinks annex Linkup annex Reinier van Eeden een transit/colocation klant van Rokscom. Ik heb hem eerder kunnen bereiken op: r.eeden at nl.iqarus.com
person: Reinier van Eeden address: Archangelkade 1-3 address: 1013 BE Amsterdam mnt-by: IQARUS-MNT e-mail: r.eeden at nl.iqarus.com phone: +31 64 607 11 12 nic-hdl: RvE16-RIPE source: RIPE # Filtered Die had ik al eerder mail gestuurd, zero response. Het 06 nummer vermeld in zijn RIPE gegevens bestaat wel, maar lijkt altijd uitgeschakeld...
Tech contact bij Rokscom is zover ik weet Daniel van Wijnen ofwel daniel at rokscom.nl Er was ook nog een techneut Pieter ofwel pieter at rokscom.nl
Dan bounce ik um ook nog even naar die Pieter. Alhoewel ik hoop dat Danier zelf ook op Nlnog leest. Bye, Raymond.
Hoi Raymond,
person: Reinier van Eeden address: Archangelkade 1-3 address: 1013 BE Amsterdam mnt-by: IQARUS-MNT e-mail: r.eeden at nl.iqarus.com phone: +31 64 607 11 12 nic-hdl: RvE16-RIPE source: RIPE # Filtered
Die had ik al eerder mail gestuurd, zero response. Het 06 nummer vermeld in zijn RIPE gegevens bestaat wel, maar lijkt altijd uitgeschakeld...
Misschien kun je met het bedrijfsadres van iQarus nog een telefoonnummer vinden? iQarus Networks Neherkade 2648 2521 RV Den Haag Ze hebben ook nog een meer administratief/financieele man, Bap Karremans ofwel bap at linkup.nl Misschien dat die wel reageert? Groeten, Jan. -- Jan Hoogenboom <jan at openpeering.nl> Open Peering Raamweg 17, 2596 HL Den Haag, Holland +31 (0)70 363 16 61
Hi!
person: Reinier van Eeden address: Archangelkade 1-3 address: 1013 BE Amsterdam mnt-by: IQARUS-MNT e-mail: r.eeden at nl.iqarus.com phone: +31 64 607 11 12 nic-hdl: RvE16-RIPE source: RIPE # Filtered
Even verder gezocht: Domain name: iqarus.nl (first domain) Technical contact: D van Wyk +31 (0)000000000 postmaster at iqarus.nl Prachtig nummer. Technical contact: F.R. van Eeden +31 (0)618639459 tech at colinks.com En die geeft 'uw heeft een niet bestaand nummer gebeld' Zie dat al de bedrijven die er mee te maken hebben (Linkup, Iqarus ect ect) op de Neherkade zitten in Den-Haag, mischien moest ik maar eens langs rijden ;) Zal in ieder geval SIDN eens vragen wat ze van de contact info vinden. Bye, Raymond.
participants (8)
-
frank@hellemink.net -
frans@quanza.net -
jan@openpeering.nl -
marco@sara.nl -
niels.bakker@ams-ix.net -
pim@bit.nl -
raymond@prolocation.net -
steven.bakker@ams-ix.net