Jump to content
  • 1

Реализовать Netflow сенсор для учета трафика.


iocsha

Question

Здорово было бы  реализовать сенсор  для  NetFlow — сетевого протокола, предназначенный для учёта сетевого трафика,.

Из возможных вариантов сенсоров для linux;

fprobe (fprobe.sourceforge.net) – работает в Linux, базируется на libpcap, есть форк fprobe-ulog, использующий libipulog;
ipt-netflow – работает в Linuх и состоит из двух модулей: ядра и iptables(
это самый быстрый netflow-сенсор  sourceforge.net/projects/ipt-netflow/files/ipt-netflow );
Softflowd (code.google.com/p/softflowd) – работает в Linux/FreeBSD, поддерживает NetFlow v1/v5/v9/;

nProbe (ntop.org/products/nprobe) – расширяемый сенсор/коллектор под Linux, FreeBSD и Windows, поддерживающий NetFlow v5/v9/IPFIX;

 

Если за основу взять fprobe , то например вот такие параметры  через CLI можно было настраивать.

nano /etc/default/fprobe
 
# Если все интерфейсы, тогда пишем "any"
INTERFACE="eth0"
FLOW_COLLECTOR="192.10.0.2:9001"
# Дополнительные аргументы; так '-f' позволяет указать специфические условия выборки трафика; наиболее популярным является отбор только IP-пакетов, т.е. '-fip'
OTHER_ARGS="-fip"

Вот все обработки  будут уже на отдельной  машине , те  как я вижу на роутере только сенсор( UDP  на порт  9555 или 9995  или 9001  с версией  протокола 5 или 9 ) .

Когда сенсор определяет, что поток закончился (по изменению параметров пакетов, либо по сбросу TCP-сессии), он отправляет информацию в коллектор. В зависимости от настроек он также может периодически отправлять в коллектор информацию о все еще идущих потоках.

Собранная информация отправляется в виде записей, содержащих следующие параметры (для версии 5):

  • Номер версии протокола;
  • Номер записи;
  • Входящий и исходящий сетевой интерфейс;
  • Время начала и конца потока;
  • Количество байт и пакетов в потоке;
  • Адрес источника и назначения;
  • Порт источника и назначения;
  • Номер протокола IP;
  • Значение Type of Service;
  • Для TCP-соединений — все наблюдаемые в течение соединения флаги;
  • Адрес шлюза;
  • Маски подсети источника и назначения.

 

Уже на удалённой  машине:

  • Коллектор. Собирает получаемые от сенсора данные и помещает их в хранилище.
  • Анализатор. Анализирует собранные коллектором данные и формирует пригодные для чтения человеком отчёты (часто в виде графиков).

тут подойдёт например : PRTG , ZOHO ManageEngine NetFlowAnalyzer ,  nfdump +NFSen

Edited by iocsha
Link to comment
Share on other sites

7 answers to this question

Recommended Posts

  • 0
9 минут назад, Александр Рыжов сказал:

fprobe из Entware как себя ведёт?

интереснее конечно   ipt-netflow  ,  всё же snmp то реализовали без сторонних пакетов(за что разработчикам огромное  спасибо).   Le ecureuil   на мой вопрос предложил создать тему и подумать.  Так да  fprobe из Entware как вариант.

 

Edited by iocsha
Link to comment
Share on other sites

  • 0

Здесь все довольно плохо из-за существования ppe hardware и ppe software, а также fastnat с которых снимать статистику довольно проблематично.

Можем добавить сам модуль ядра ip-netflow в пакет opkg-kmod-netfilter, при этом вы сами отключите абсолютно все ускорители (подскажем как, но максимальные скорости будут конечно на порядок ниже) и настроите userspace через entware или debian - так вас устроит?

Все остальное требует очень кропотливой нашей работы, и будущее этого туманно.

Link to comment
Share on other sites

  • 0
В 13.08.2016 в 11:12, Le ecureuil сказал:

Здесь все довольно плохо из-за существования ppe hardware и ppe software, а также fastnat с которых снимать статистику довольно проблематично.

Можем добавить сам модуль ядра ip-netflow в пакет opkg-kmod-netfilter, при этом вы сами отключите абсолютно все ускорители (подскажем как, но максимальные скорости будут конечно на порядок ниже) и настроите userspace через entware или debian - так вас устроит?

Все остальное требует очень кропотливой нашей работы, и будущее этого туманно.

 

Спасибо , нет конечно это того не стоит , не знал тонкостей  работы  сетевых ускорителей. Если всё  так сложно- значит оно того не стоит. Ещё  раз спасибо всем за советы. Тему  можно закрывать.

Link to comment
Share on other sites

  • 0

Здравствуйте!

Появилась необходимость посчитать IP-трафик, но не только посчитать - с этим неплохо справляется NetWorx с подключением по UPnP - а сохранить лог доступа с 1)внутренним адресом, 2)набором DNS-запросов, 3)кол-вом кб и ес-но 4)timestamp.

Zyxel Keenetic Lite II

Чем это можно реализовать? Сможет ли это сделать netflow? Можно ли netflow приклеить на LAN-порт, на котором висит маршрутизатор локалки? Локалка большая, в кинетик не умещается, поэтому нужно читать арптаблицу запроса на одном порту; варианты, с какого порта кинетика прилетел запрос, не пройдут. Либо можно ли реализовать это через "приложения" кинетика?

Если 

В 13.08.2016 в 11:12, Le ecureuil сказал:

Все остальное требует очень кропотливой нашей работы, и будущее этого туманно.

то какое оборудование (кроме CISCO) посоветуете для решения этой задачи?

Второй вопрос - с какойц программой в этом случае дружить netflow, чтобы читать и анализировать логи в графическом варианте? Рассматриваю cacti, есть на чем.

 

Заранее спасибо.

Edited by Николай84
редактирование
Link to comment
Share on other sites

  • 0
13 минуты назад, Николай84 сказал:

Здравствуйте!

Появилась необходимость посчитать IP-трафик, но не только посчитать - с этим неплохо справляется NetWorx с подключением по UPnP - а сохранить лог доступа с 1)внутренним адресом, 2)набором DNS-запросов, 3)кол-вом кб и ес-но 4)timestamp.

Zyxel Keenetic Lite II

Чем это можно реализовать? Сможет ли это сделать netflow? Можно ли netflow приклеить на LAN-порт, на котором висит маршрутизатор локалки? Локалка большая, в кинетик не умещается, поэтому нужно читать арптаблицу запроса на одном порту; варианты, с какого порта кинетика прилетел запрос, не пройдут. Либо можно ли реализовать это через "приложения" кинетика?

Если 

то какое оборудование (кроме CISCO) посоветуете для решения этой задачи?

Второй вопрос - с какойц программой в этом случае дружить netflow, чтобы читать и анализировать логи в графическом варианте? Рассматриваю cacti, есть на чем.

 

Заранее спасибо.

У вас тут просто какой-то поток сознания, старайтесь яснее излагать свои мысли.

1. сохранения лога доступа нет

2. насчет возможности реализации через netflow изучайте сами

3. реализовать через приложения кинетика сейчас нельзя, через entware/debian есть небольшие шансы

4. ничего мы советовать не будем, здесь обсуждаются только Keenetic

Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...