netflow

Самописный парсер netflow

Опубликовано admin в Чт, 24/02/2011 - 11:02

Долгое время для сбора статистики и отображения ее на графиках использовал cuflow+flowtools. Штука полезная, но мне не требовалось строить графики по протоколам, портам и так далее. Причем в конфигурации Cuflow задавалась только сеть которая является "нашим источником" трафика и никаких разговоров о том, чтобы рисовать график допустим из "Сегмента А" в "Сегмент Б", да еще для каждого IP-адреса из "Сегмента А" стоить свой график. Готового бесплатного продукта для своих нужд не нашел, пришлось писать ручками.Читать далее

Настройка Cisco ip flow на IOS 12.3 и выше

Опубликовано admin в Втр, 02/11/2010 - 14:42

Описание задачи

Снимать статистику с интерфейсов посредством netflow и отправлять на биллинговый сервер.

Решение

На IOS 12.3 и выше ( в моем случае это был 12.4Т) по рекомендации cisco, ip flow настраивается следующим образом:

1. Включаем cef (Cisco Express Forwarding)

configure terminal
ip cef

2. описываем кол-во записей

ip flow-cache entries 40960

3. выставляем тайм ауты

ip flow-cache timeout inactive 130
ip flow-cache timeout active 20

4. указываем интерфейс

ip flow-export source INTERFACE

где INTERFACE это интерфейс с которого будет отправляться flow

5. версия

ip flow-export version 5

6. куда отправляем

ip flow-export destination IP-адрес Порт
Читать далее

( categories: )

Оценка производительности графов Netgraph. На примере возможных схем анализа трафика, средствами ng_netflow.

Опубликовано admin в Чт, 21/10/2010 - 12:27
В данном документе приведена простейшая методика оценки производительности графов Netgraph на примерах "сбора" трафика, проходящего в обоих направлениях, через интерфейс.

Большая часть схем представляет лишь теоретические изыскания и не испытывалась на практике.
Для анализа схем используются примитивные представления о зависимости производительности системы от количества узлов в графе.
Для упрощения, при анализе не учитывается внутреннее устройство подсистемы Netgraph и отдельных узлов.

Читать далее

Отлов вирусной активности в сети с помощью Netflow

Опубликовано admin в Втр, 21/09/2010 - 22:21
В этом топике расскажу как можно в пару скриптов наладить простой сбор статистики по аномальной активности в сети.

Аномальным для нас будет на момент снятия статистики:

1. Более 20 исходящих коннектов по 25 порту с 1 IP.
2. Более 100 исходящих коннектов по 80 порту с 1 IP.
3. Более 100 исходящих коннектов по 53 порту с 1 IP.
4. Придумывайте сами, всё гибко.

Статистику будем вынимать из кэша netflow маршрутизаторов. Будет ли это Cisco или FreeBSD — не важно. О настройке netflow на FreeBSD я рассказывал в предыдущих своих статьях.
Читать далее
( categories: )

FreeBSD Netgraph, считаем трафик

Опубликовано admin в Пнд, 26/07/2010 - 20:51
В продолжении темы о ядерной подсистеме графов Netgraph FreeBSD Netgraph на примере Ethernet тоннеля (_http://alexandr.sysoev.ru/node/71) попробуем посчитать трафик используя протокол Сisco netflow.

В прошлом обзоре мы познакомились с модулями ng_bridge, ng_ether и ng_ksocket и построили на их базе Ethernet тоннель через интернет, а сегодня я расскажу как, используя дополнительные модули netgraph, посчитать трафик, проходящий по этому тоннелю.
Читать далее
RSS-материал