Erinevus lehekülje "Netflow" redaktsioonide vahel
(→OpenBSD ettevalmistamine) |
(→Debiani ettevalmistamine) |
||
| 16. rida: | 16. rida: | ||
===Debiani ettevalmistamine=== | ===Debiani ettevalmistamine=== | ||
| + | |||
| + | Debiani paketihalduses on olemas nfdump tarkvara, kuhu komplekti kuulub programm nfcapd, mille abil saab võtta vastu saadetud netflow andmeid ning promgramm nfdump, mille abil saab esitada kogutud andmeid tekstilisel kujul. | ||
| + | |||
| + | nfcapd käivitamiseks sobib nt öelda, /tmp/nfdata kataloog peab olemas olema | ||
| + | |||
| + | # nfcapd -z -w -l /tmp/nfdata -S "%Y/%m/%d/%H" | ||
| + | |||
| + | Mõne aja pärast on sinna ilmunud sarnased failid, nende sinu esitamiseks sobib öelda nt | ||
| + | |||
| + | # nfdump -r /tmp/router1/nfcapd.200905031005 | ||
| + | Date flow start Duration Proto Src IP Addr:Port Dst IP Addr:Port Packets Bytes Flows | ||
| + | 2009-05-03 13:50:25.466 30.000 UDP 192.168.10.101:21897 -> 89.25.35.28:57476 1 142 1 | ||
| + | 2009-05-03 13:50:25.466 30.000 UDP 89.25.35.28:57476 -> 192.168.10.101:21897 1 48 1 | ||
| + | 2009-05-03 13:50:25.466 30.000 UDP 84.50.96.138:54754 -> 89.25.35.28:57476 1 142 1 | ||
| + | 2009-05-03 13:50:25.466 30.000 UDP 89.25.35.28:57476 -> 84.50.96.138:54754 1 48 1 | ||
| + | 2009-05-03 13:50:25.466 30.000 UDP 192.168.10.101:631 -> 192.168.10.255:631 2 402 1 | ||
| + | ... | ||
Tundub, et suhteliselt sobiv on kasutada Debiani keskkonda veebirakenduse abil netflow esitamiseks. | Tundub, et suhteliselt sobiv on kasutada Debiani keskkonda veebirakenduse abil netflow esitamiseks. | ||
Redaktsioon: 3. mai 2009, kell 17:19
Sisukord
Sissejuhatus
Newflow abil saab analüüsida ja üldistada andmevahetust nt võrgusõlme läbinud liikust.
OpenBSD ettevalmistamine
Alates versioonist 4.5 saab OpenBSD tulemüürist väljastada netflow standardile vastavaid sõnumeid. Sõnumite saatmiseks tuleb öelda kuhu sõnumeid saata
# ifconfig pflow0 flowsrc 192.168.10.210 flowdst 192.168.10.51:9995
Lisaks tuleb lubada vastav liiklus arvutist välja. Sõnumite liiklusmises saab veenduda liiklust kuulates
# tcpdump -nei pflow0 tcpdump: listening on pflow0, link-type RAW 17:14:15.813705 ip: 192.168.10.210.62379 > 192.168.10.51.9995: udp 1464 (DF) [tos 0x10]
Debiani ettevalmistamine
Debiani paketihalduses on olemas nfdump tarkvara, kuhu komplekti kuulub programm nfcapd, mille abil saab võtta vastu saadetud netflow andmeid ning promgramm nfdump, mille abil saab esitada kogutud andmeid tekstilisel kujul.
nfcapd käivitamiseks sobib nt öelda, /tmp/nfdata kataloog peab olemas olema
# nfcapd -z -w -l /tmp/nfdata -S "%Y/%m/%d/%H"
Mõne aja pärast on sinna ilmunud sarnased failid, nende sinu esitamiseks sobib öelda nt
# nfdump -r /tmp/router1/nfcapd.200905031005 Date flow start Duration Proto Src IP Addr:Port Dst IP Addr:Port Packets Bytes Flows 2009-05-03 13:50:25.466 30.000 UDP 192.168.10.101:21897 -> 89.25.35.28:57476 1 142 1 2009-05-03 13:50:25.466 30.000 UDP 89.25.35.28:57476 -> 192.168.10.101:21897 1 48 1 2009-05-03 13:50:25.466 30.000 UDP 84.50.96.138:54754 -> 89.25.35.28:57476 1 142 1 2009-05-03 13:50:25.466 30.000 UDP 89.25.35.28:57476 -> 84.50.96.138:54754 1 48 1 2009-05-03 13:50:25.466 30.000 UDP 192.168.10.101:631 -> 192.168.10.255:631 2 402 1 ...
Tundub, et suhteliselt sobiv on kasutada Debiani keskkonda veebirakenduse abil netflow esitamiseks.
# apt-get install nfdump librrds-perl
