Здорово было бы реализовать сенсор для NetFlow — сетевого протокола, предназначенный для учёта сетевого трафика,.
Из возможных вариантов сенсоров для linux;
fprobe (fprobe.sourceforge.net) – работает в Linux, базируется на libpcap, есть форк fprobe-ulog, использующий libipulog;
ipt-netflow – работает в Linuх и состоит из двух модулей: ядра и iptables(это самый быстрый netflow-сенсор sourceforge.net/projects/ipt-netflow/files/ipt-netflow );
Softflowd (code.google.com/p/softflowd) – работает в Linux/FreeBSD, поддерживает NetFlow v1/v5/v9/;
nProbe (ntop.org/products/nprobe) – расширяемый сенсор/коллектор под Linux, FreeBSD и Windows, поддерживающий NetFlow v5/v9/IPFIX;
Если за основу взять fprobe , то например вот такие параметры через CLI можно было настраивать.
nano/etc/default/fprobe
# Если все интерфейсы, тогда пишем "any"INTERFACE="eth0"FLOW_COLLECTOR="192.10.0.2:9001"# Дополнительные аргументы; так '-f' позволяет указать специфические условия выборки трафика; наиболее популярным является отбор только IP-пакетов, т.е. '-fip'OTHER_ARGS="-fip"
Вот все обработки будут уже на отдельной машине , те как я вижу на роутере только сенсор( UDP на порт 9555 или 9995 или 9001 с версией протокола 5 или 9) .
Когда сенсор определяет, что поток закончился (по изменению параметров пакетов, либо по сбросу TCP-сессии), он отправляет информацию в коллектор. В зависимости от настроек он также может периодически отправлять в коллектор информацию о все еще идущих потоках.
Собранная информация отправляется в виде записей, содержащих следующие параметры (для версии 5):
Номер версии протокола;
Номер записи;
Входящий и исходящий сетевой интерфейс;
Время начала и конца потока;
Количество байт и пакетов в потоке;
Адрес источника и назначения;
Порт источника и назначения;
Номер протокола IP;
Значение Type of Service;
Для TCP-соединений — все наблюдаемые в течение соединения флаги;
Адрес шлюза;
Маски подсети источника и назначения.
Уже на удалённой машине:
Коллектор. Собирает получаемые от сенсора данные и помещает их в хранилище.
Анализатор. Анализирует собранные коллектором данные и формирует пригодные для чтения человеком отчёты (часто в виде графиков).
тут подойдёт например : PRTG , ZOHO ManageEngine NetFlowAnalyzer , nfdump +NFSen
Question
iocsha
Здорово было бы реализовать сенсор для NetFlow — сетевого протокола, предназначенный для учёта сетевого трафика,.
Из возможных вариантов сенсоров для linux;
fprobe (fprobe.sourceforge.net) – работает в Linux, базируется на libpcap, есть форк fprobe-ulog, использующий libipulog;
ipt-netflow – работает в Linuх и состоит из двух модулей: ядра и iptables( это самый быстрый netflow-сенсор sourceforge.net/projects/ipt-netflow/files/ipt-netflow );
Softflowd (code.google.com/p/softflowd) – работает в Linux/FreeBSD, поддерживает NetFlow v1/v5/v9/;
nProbe (ntop.org/products/nprobe) – расширяемый сенсор/коллектор под Linux, FreeBSD и Windows, поддерживающий NetFlow v5/v9/IPFIX;
Если за основу взять fprobe , то например вот такие параметры через CLI можно было настраивать.
Вот все обработки будут уже на отдельной машине , те как я вижу на роутере только сенсор( UDP на порт 9555 или 9995 или 9001 с версией протокола 5 или 9 ) .
Когда сенсор определяет, что поток закончился (по изменению параметров пакетов, либо по сбросу TCP-сессии), он отправляет информацию в коллектор. В зависимости от настроек он также может периодически отправлять в коллектор информацию о все еще идущих потоках.
Собранная информация отправляется в виде записей, содержащих следующие параметры (для версии 5):
Уже на удалённой машине:
тут подойдёт например : PRTG , ZOHO ManageEngine NetFlowAnalyzer , nfdump +NFSen
Edited by iocsha7 answers to this question
Recommended Posts