Netflow建置和应用.pptVIP

Netflow 建置與應用 gslin@.tw 林嘉軒 簡介 前面會講 Netflow 的概念 運作方式 用途 後面會提到 Netflow 實做的部分 在 UNIX 上面安裝相關軟體 撰寫相關程式分析數據 什麼是 Netflow ? 紀錄流過封包的摘要，通常包括了： Protocol 種類 (ICMP/TCP/UDP/…) Port 號碼 (TCP/UDP/…) 封包數目 封包大小 一開始是在 Cisco Router 上所提供 幾乎是工業標準 Netflow 的用途? 統計流量 流量監控、流量分析、使用生態分析 詳細的連線記錄 連線記錄可以作為證據 Netflow 運作方式 (1) Netflow 運作方式 (2) Netflow 的硬體需求 製造 flow 的工具 Cisco 7 series router，或是… NTOP 以及一顆有 Port Mirror 功能的 Switch 計算 flow 的工具 一台 PC CPU 隨意，記憶體要大，最好有 512MB 硬碟要大，看需要選擇用 IDE 或 RAID5 Netflow 的軟體需求 OS： FreeBSD 或是 Linux 都可以 產生 flow 的軟體： flow-tools NetflowExporter NTOP 統計軟體： 視需求自己撰寫或是修改程式 硬體的設定 在 Cisco Router 上設定： ip flow-export IP Port ip flow-export 56789 軟體的安裝 (flow-tools) flow-tools 可以在下面這個網址抓到：/sw/flow-tools/ 在 FreeBSD 上有 ports 可以安裝 /usr/ports/net/flow-tools make all install clean 軟體的設定 (flow-tools) flow-capture 接收 Router 丟過來的 Data flow-capture -e 1440 -N 0 -n 143 -z 6 -w PATH -e 1440 表示保留 1440 個檔案 (十天) -N 0 請參考 man flow-capture 的說明 -n 143 表示每天有 144 個檔案，也就是設定為十分鐘一個檔案。 -z 6 表示壓縮率，通常 6 就夠用 -w PATH 表示要把檔案放到那個路徑 無 Netflow 功能時使用的軟體 中央大學劉劍青先生寫的 NetflowExporter .tw/NetflowExporter/ NTOP / (原始站台) /usr/ports/net/ntop (FreeBSD Ports) 軟體的使用 - flow-print flow-print 負責將存起來的 Rawdata 顯示出來 flow-cat PATH/FILE | flow-print -f3 | less -f3 為顯示的格式，請參考 man flow-print 裡面的說明 less 是分頁用的工具 軟體的使用 - flow-print (範例) srcIP dstIP prot srcPort dstPort octets packets 4 53 6 1338 84 40 1 43 53 6 1604 85 40 1 8 53 6 1685 86 40 1 38 53 6 1325 87 40 1 52 53 6 1901 88 40 1 1 7 6 4379 80 44 1 6 53 6 1729 89 40 1 33 9 17 1029 137 78 1 64 53 6 1311 90 40 1 0 53 6 1109 91 40 1 7 1 6 80 4379 40 1 43 53 6 1952 92 40 1 11 12 6 80 3227 281 4 軟體的使用 - ACL ACL 可以設定要過濾