登录  
 加关注
查看详情
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

杨树叶子的博客

 
 
 

日志

 
 
 
 

netflow 統計 zt  

2007-03-07 11:22:04|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
用過ciscoswitch的人應該對netflow封包統計都不陌生.
但對沒有摳摳買那麼高檔設備的人,又想做像網路分析的人
確實是滿困擾的..
mrtg 只能觀看interface流量.
ntop 沒錯,確實收集的非常完整.但也完整到太詳細.耗資源
其實還有其他能輸出netflow的程式,可選擇.
以下範例使用fprobe + flow-tool 來統計流量.
fprobe http://sourceforge.net/projects/fprobe
安裝 /usr/ports/net/fprobe
#make install
flow-tools http://www.splintered.net/sw/flow-tools/
安裝 /usr/ports/net/flow-tools
#make install
man fprobe 看一下參數,例如memory及buffer 等細項.
接下來,將對外的interface mirror 到這台機器.
執行fprobe ....
fprobe -i fxp0 -n 5 -e 1 127.0.0.1:9991
抓取fxp0 界面封包,產生netflow v5格式,active timer設一秒.^^..
送到127.0.0.1port 9991. (本機port 9991)
接下來執行flow-capture 抓取netflow的封包.
/usr/local/bin/flow-capture -z 6 -n 144 -e 1440 -N -1 -w /netflow0/0/9991
其中 -n 144 表示一天分割成144份檔案,既10分鐘一個檔案
-e 1440 保留 1440份,既10天量 -N -1 格式-1 為年-月-日
-w /netflow 收及封包檔案放到/netflow 0/0/9991接收所有機器的netflow封包,port 為9991
如果一切順利,會看到目錄下有tmp-v05. 及ft-v05 等檔案產生.
tmp-v05 為暫存檔. ft-v05 為儲存的檔案.
接下來,就是分析了.....透過flow-tools提供一些分析工具,可快速產生.
flow-cat 檔案 | flow-print 將列出所有抓下的封包
flow-cat 檔案 | flow-stat -f8 -S2 | tail +13l | head -10
可抓取目的地流量前10名ip.
flow-cat 檔案 | flow-stat -f5 統計port量(別被P2P軟體量嚇到)
flow-cat 檔案 | flow-filter -P6677 | flow-stat -f8 -S2
抓出port 6677 (kuro)的排名,然後拿HDD過去給他.有好聽音樂可聽..^^"
其中檔案,可使用 /目錄/* 來表示
就可抓取一天的封包了...其他應用,可參考
http://www.splintered.net/sw/flow-tools/docs/ 有詳細介紹.
如果您懂一些簡單的shell 可將定期產生的報表,製成html 等.當網管用.
因為netflow統計到所有封包. 對一些網路異常行為有提供分析.
像中毒機器,或異常流量等. 就靠您的應用了.
其他像fprobe 程式..可參考國內劉劍青大哥的
http://sunsite.cc.ncu.edu.tw/NetflowExporter/
__________________________________
  评论这张
 
阅读(109)| 评论(0)

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018