模板
教程
环境
性能
功能
管理
netflow 統計 zt
发表于:2007-06-09来源:作者:点击数:
标签:
用過ciscoswitch的人應該對netflow封包統計都不陌生. 但對沒有摳摳買那麼高檔設備的人,又想做像網路分析的人 確實是滿困擾的.. mrtg只能觀看interface流量. ntop沒錯,確實收集的非常完整.但也完整到太詳細.耗資源 其實還有其他能輸出netflow的程式,可選擇.
用過cisco switch的人應該對netflow封包統計都不陌生.
但對沒有摳摳買那麼高檔設備的人,又想做像網路分析的人
確實是滿困擾的..
mrtg 只能觀看interface流量.
ntop 沒錯,確實收集的非常完整.但也完整到太詳細.耗資源
其實還有其他能輸出netflow的程式,可選擇.
以下範例使用fprobe + flow-tool 來統計流量.
fprobe http://sourceforge.net/projects/fprobe
安裝 /usr/ports/net/fprobe
#make install
flow-tools http://www.splintered.net/sw/flow-tools/
安裝 /usr/ports/net/flow-tools
#make install
man fprobe 看一下參數,例如memory及buffer 等細項.
接下來,將對外的interface mirror 到這台機器.
執行fprobe ....
fprobe -i fxp0 -n 5 -e 1 127.0.0.1:9991
抓取fxp0 界面封包,產生netflow v5格式,active timer設一秒.^^..
送到127.0.0.1port 9991. (本機port 9991)
接下來執行flow-capture 抓取netflow的封包.
/usr/local/bin/flow-capture -z 6 -n 144 -e 1440 -N -1 -w /netflow 0/0/9991
其中 -n 144 表示一天分割成144份檔案,既10分鐘一個檔案
-e 1440 保留 1440份,既10天量 -N -1 格式-1 為年-月-日
-w /netflow 收及封包檔案放到/netflow 0/0/9991 接收所有機器的netflow封包,port 為9991
如果一切順利,會看到目錄下有tmp-v05. 及ft-v05 等檔案產生.
tmp-v05 為暫存檔. ft-v05 為儲存的檔案.
接下來,就是分析了.....透過flow-tools 提供一些分析工具,可快速產生.
flow-cat 檔案 | flow-print 將列出所有抓下的封包
flow-cat 檔案 | flow-stat -f8 -S2 | tail +13l | head -10
可抓取目的地流量前10名ip.
flow-cat 檔案 | flow-stat -f5 統計port量(別被P2P軟體量嚇到)
flow-cat 檔案 | flow-filter -P6677 | flow-stat -f8 -S2
抓出port 6677 (kuro) 的排名,然後拿HDD過去給他.有好聽音樂可聽..^^"
其中檔案,可使用 /目錄/* 來表示
就可抓取一天的封包了...其他應用,可參考
http://www.splintered.net/sw/flow-tools/docs/ 有詳細介紹.
如果您懂一些簡單的shell 可將定期產生的報表,製成html 等. 當網管用.
因為netflow統計到所有封包. 對一些網路異常行為有提供分析.
像中毒機器,或異常流量等. 就靠您的應用了.
其他像fprobe 程式..可參考國內劉劍青大哥的
http://sunsite.cc.ncu.edu.tw/NetflowExporter/
| jack666 回复于:2003-12-18 00:45:23 |
| 大哥... 麻煩您註明出處好嗎??
我發表在小紅帽的文章... 一字不差貼出.. 這太..... 這樣以後還有誰要寫出來分享... |
| upkill98 回复于:2004-06-01 13:08:02 |
| 他已经写出了是转贴的,只不过没有写你的名字。
呵呵 《netflow 統計 zt》 最后的"zt"就是转贴的意思。 |
| 叶大马猴 回复于:2004-12-24 13:48:24 |
| NetflowExporter 程式
zz: http://sunsite.cc.ncu.edu.tw/NetflowExporter/ 目前只支援在 i386 平台的 Linux 及 FreeBSD 作業系統 FreeBSD 下載 NetflowExporter-0.1.25.tgz Linux 下載 NetflowExporter-0.1.25-1.i386.rpm [static] Linux 下載 NetflowExporter-0.1.26-1.i386.rpm [shared] 在 FreeBSD 上安裝方式如下: # pkg_add NetflowExporter-0.1.25.tgz 而在 Linux 則以 rpm 來進行安裝,如: # rpm -ivh NetflowExporter-0.1.25-1.i386.rpm |
