欢迎来到天天文库
浏览记录
ID:37428962
大小:361.81 KB
页数:20页
时间:2019-05-12
《Netflow建置与应用》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、Netflow建置與應用gslin@ccca.nctu.edu.tw林嘉軒簡介前面會講Netflow的概念運作方式用途後面會提到Netflow實做的部分在UNIX上面安裝相關軟體撰寫相關程式分析數據什麼是Netflow?紀錄流過封包的摘要,通常包括了:Protocol種類(ICMP/TCP/UDP/…)Port號碼(TCP/UDP/…)封包數目封包大小一開始是在CiscoRouter上所提供幾乎是工業標準Netflow的用途?統計流量流量監控、流量分析、使用生態分析詳細的連線記錄連線記錄可以作為證據Netflow運作方式(1)NetflowRouterPC(統計用
2、的主機)PacketSummary內部網路上游有Netflow功能Router的作法Netflow運作方式(2)內部網路有PortMirror功能的Switch沒有Netflow功能的Router上游PC(統計用的主機)沒有Netflow功能Router的作法Packet(NOTSUMMARY!!!)Netflow的硬體需求製造flow的工具Cisco7seriesrouter,或是…NTOP以及一顆有PortMirror功能的Switch計算flow的工具一台PCCPU隨意,記憶體要大,最好有512MB硬碟要大,看需要選擇用IDE或RAID5Netflow的軟體
3、需求OS:FreeBSD或是Linux都可以產生flow的軟體:flow-toolsNetflowExporterNTOP統計軟體:視需求自己撰寫或是修改程式硬體的設定在CiscoRouter上設定:ipflow-exportipflow-export192.168.1.156789軟體的安裝(flow-tools)flow-tools可以在下面這個網址抓到:http://www.splintered.net/sw/flow-tools/在FreeBSD上有ports可以安裝/usr/ports/net/flow-toolsmakeallins
4、tallclean軟體的設定(flow-tools)flow-capture接收Router丟過來的Dataflow-capture-e1440-N0-n143-z6-w-e1440表示保留1440個檔案(十天)-N0請參考manflow-capture的說明-n143表示每天有144個檔案,也就是設定為十分鐘一個檔案。-z6表示壓縮率,通常6就夠用-w表示要把檔案放到那個路徑無Netflow功能時使用的軟體中央大學劉劍青先生寫的NetflowExporterhttp://sunsite.cc.ncu.edu.tw/NetflowExpor
5、ter/NTOPhttp://www.ntop.org/(原始站台)/usr/ports/net/ntop(FreeBSDPorts)軟體的使用-flow-printflow-print負責將存起來的Rawdata顯示出來flow-cat/
6、flow-print-f3
7、less-f3為顯示的格式,請參考manflow-print裡面的說明less是分頁用的工具軟體的使用-flow-print(範例)srcIPdstIPprotsrcPortdstPortoctetspackets140.113.146.74202.216.248.25361
8、33884401140.113.146.143202.216.248.2536160485401140.113.146.38202.216.248.2536168586401140.113.146.238202.216.248.2536132587401140.113.146.252202.216.248.2536190188401163.28.48.71140.113.20.476437980441140.113.146.66202.216.248.2536172989401163.19.53.133198.104.180.99171029137781140.1
9、13.146.164202.216.248.2536131190401140.113.146.80202.216.248.2536110991401140.113.20.47163.28.48.716804379401140.113.146.143202.216.248.253619529240166.79.10.211163.28.64.11268032272814軟體的使用-ACLACL可以設定要過濾哪些flow但是只包括IP,不包括Portflow.acl(或者隨便取):ipaccess-liststandardnctudeny140.113.96.00.0
10、.3.25
此文档下载收益归作者所有