
<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0cm;


        margin-bottom:.0001pt;


        font-size:11.0pt;


        font-family:"Calibri",sans-serif;}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


p.msonormal0, li.msonormal0, div.msonormal0


        {mso-style-name:msonormal;


        mso-margin-top-alt:auto;


        margin-right:0cm;


        mso-margin-bottom-alt:auto;


        margin-left:0cm;


        font-size:11.0pt;


        font-family:"Calibri",sans-serif;}


span.EmailStyle18


        {mso-style-type:personal-reply;


        font-family:"Calibri",sans-serif;


        color:windowtext;


        font-weight:normal;


        font-style:normal;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-size:10.0pt;}


@page WordSection1


        {size:612.0pt 792.0pt;


        margin:72.0pt 72.0pt 72.0pt 72.0pt;}


div.WordSection1


        {page:WordSection1;}


--></style>


</head>


<body lang="EN-US" link="blue" vlink="purple">


<div class="WordSection1">


<p class="MsoNormal">Check out Wanguard<o:p></o:p></p>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Times New Roman",serif">-- <o:p></o:p></span></p>


<div>


<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Times New Roman",serif">Dmitry Sherman<o:p></o:p></span></p>


</div>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">


<p class="MsoNormal" style="margin-left:36.0pt"><b><span style="font-size:12.0pt;color:black">From:


</span></b><span style="font-size:12.0pt;color:black">NANOG <nanog-bounces@nanog.org> on behalf of Colton Conor <colton.conor@gmail.com><br>


<b>Date: </b>Wednesday, 29 January 2020 at 0:47<br>


<b>To: </b>Mike <mike-nanog@tiedyenetworks.com><br>


<b>Cc: </b>NANOG <nanog@nanog.org><br>


<b>Subject: </b>Re: Recommended DDoS mitigation appliance?<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:36.0pt"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:36.0pt">Mike, <o:p></o:p></p>


<div>


<p class="MsoNormal" style="margin-left:36.0pt"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:36.0pt">What did you end up going with if not fastnetmon? Were you using their paid or free version? <o:p></o:p></p>


</div>


</div>


<p class="MsoNormal" style="margin-left:36.0pt"><o:p> </o:p></p>


<div>


<div>


<p class="MsoNormal" style="margin-left:36.0pt">On Thu, Dec 5, 2019 at 4:45 PM Mike <<a href="mailto:mike-nanog@tiedyenetworks.com">mike-nanog@tiedyenetworks.com</a>> wrote:<o:p></o:p></p>


</div>


<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm">


<p class="MsoNormal" style="mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:12.0pt;margin-left:36.0pt">


<br>


On 12/5/19 1:43 PM, Hugo Slabbert wrote:<br>


>> FastNetMon is awesome, but its a detection tool with no mitigation <br>


>> capacity whatsoever.<br>


><br>


> Does is not, though, provide the ability to hook into RTBH or Flowspec <br>


> setups?<br>


><br>


<br>


Yes it does provide RTBH hook.<br>


<br>


I evaluated fastnetmon using exactly the 'quick setup' and found it to <br>


have some serious problems with false alarms and statistical anomalies, <br>


at least when using pure netflow data (did not try sampled mode).  Hosts <br>


that were not in fact receiving >100mbps traffic (a traffic level I <br>


predetermined as 'attack' for a given network segment), would <br>


occasionally get flagged as such (and rtbh activated), while 2 real <br>


attacks that came during the testing period (60 days for me) went <br>


completely unnoticed. Support seemed to concede that sampled mode is <br>


really the only accurate method, and which by this time I'd expended all <br>


my interest. Great concept, cool integration, just not ready for prime time.<br>


<br>


<br>


MIke-<o:p></o:p></p>


</blockquote>


</div>


</div>


</body>


</html>