Estas son las herramientas de flujo de comandos que se pueden ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
herramientas de flujo - Conjunto de herramientas para trabajar con datos NetFlow.
DESCRIPCIÓN
Flow-tools es una biblioteca y una colección de programas que se utilizan para recopilar, enviar, procesar y
generar informes a partir de datos de NetFlow. Las herramientas se pueden utilizar juntas en un solo servidor o
distribuido a varios servidores para grandes implementaciones. La biblioteca de herramientas de flujo proporciona
una API para el desarrollo de aplicaciones personalizadas para las versiones de exportación de NetFlow 1,5,6, 14, XNUMX y XNUMX
subversiones de la versión 8 definidas actualmente. Se ha creado una interfaz de Perl y Python.
contribuido y se incluyen en la distribución.
Los datos de flujo se recopilan y almacenan de forma predeterminada en el orden de bytes del host, pero los archivos se
portátil a través de arquitecturas endian grandes y pequeñas.
Los comandos que utilizan la red utilizan una designación localip / remoteip / port para
comunicación. "localip" es la dirección IP que el host utilizará como fuente para enviar o
enlazar al recibir las PDU de NetFlow (es decir, la dirección de destino del exportador.
Configurar el "localip" en 0 obligará al kernel a decidir qué dirección IP usar para
enviar y escuchar en todas las direcciones IP para recibir. "remoteip" es la IP de destino
dirección utilizada para enviar o la dirección esperada de la fuente al recibir. Si el
"remoteip" es 0, entonces la aplicación aceptará flujos de cualquier dirección de origen. los
"puerto" es el número de puerto UDP utilizado para enviar o recibir. Cuando se usa multidifusión
direcciones el localip / remoteip / port se utiliza para representar la fuente, el grupo y el puerto
respectivamente.
Los flujos se exportan desde un enrutador en varias versiones configurables diferentes. Un flujo
es una colección de campos clave y datos adicionales. La clave de flujo es {srcaddr, dstaddr,
input, output, srcport, dstport, prot, ToS}. Flow-tools admite una versión de exportación por
archivo.
Las versiones de exportación 1, 5, 6 y 7 mantienen {nexthop, dPkts, dOctets, First, Last, flags},
es decir, la dirección IP del siguiente salto, número de paquetes, número de octetos (bytes), hora de inicio, finalización
tiempo y banderas como los bits de encabezado TCP. La versión 5 agrega los campos adicionales
{src_as, dst_as, src_mask, dst_mask}, es decir, AS de origen, AS de destino, máscara de red de origen,
y máscara de red de destino. La versión 7, que es específica de los switches Catalyst, agrega
además de los campos de la versión 5 {router_sc}, que es la dirección IP del router que
llena el acceso directo de la caché de flujo en el supervisor. Versión 6 que no es oficialmente
compatible con Cisco agrega además de los campos de la versión 5 {in_encaps, out_encaps,
peer_nexthop}, es decir, el tamaño de encapsulación de la interfaz de entrada y salida, y la dirección IP de
el siguiente salto dentro del par. Las exportaciones de la versión 1 no contienen un número de secuencia y
Por lo tanto, debe evitarse, aunque es seguro almacenar los datos como versión 1 si el
no se utilizan campos adicionales.
La versión 8 de IOS NetFlow es una caché de flujo de segundo nivel que reduce los datos exportados desde el
enrutador. Actualmente hay 11 formatos, todos los cuales proporcionan {dFlows, dOctets, dPkts,
Primero, Último} para los campos clave.
8.1 - AS de origen y destino, interfaz de entrada y salida
8.2 - Protocolo y puerto
8.3 - Prefijo de fuente e interfaz de entrada
8.4 - Prefijo de destino e interfaz de salida
8.5 - Prefijo de origen / destino e interfaz de entrada / salida
8.9 - 8.1 + ToS
8.10 - 8.2 + ToS
8.11 - 8.3 + ToS
8.12 - 8.5 + ToS
8.13 - 8.2 + ToS
8.14 - 8.3 + puertos + ToS
La versión 8 de CatIOS NetFlow parece ser un caché de flujo de primer nivel menos detallado.
8.6 - IP de destino, ToS, ToS marcado,
8.7 - IP de origen / destino, interfaz de entrada / salida, ToS, ToS marcado,
8.8 - IP de origen / destino, puerto de origen / destino,
Interfaz de entrada / salida, ToS, ToS marcado,
Los siguientes programas están incluidos en la distribución de herramientas de flujo.
captura de flujo - Recopile, comprima, almacene y administre el espacio en disco para los flujos exportados desde un
enrutador
gato de flujo - Concatenar archivos de flujo. Normalmente, los archivos de flujo contendrán una pequeña ventana de 5
o 15 minutos de exportaciones. Flow-cat se puede utilizar para agregar archivos para generar informes
que abarcan períodos de tiempo más largos.
flujo en abanico - Replique los datagramas de NetFlow a destinos de unidifusión o multidifusión. Fluir-
fanout se utiliza para facilitar la conexión de múltiples colectores a un solo enrutador.
informe de flujo - Genere informes para conjuntos de datos de NetFlow. Los informes incluyen origen / destino
Pares de IP, AS de origen / destino y mejores hablantes. Más de 50 informes están actualmente
soportado.
etiqueta de flujo - Flujos de etiquetas basados en la dirección IP o AS #. Flow-tag se utiliza para agrupar flujos por
red de clientes. Las etiquetas se pueden utilizar posteriormente con flow-fanout o flow-report para generar
informes de tráfico basados en el cliente.
filtro de flujo - Filtrar flujos basados en cualquiera de los campos de exportación. El filtro de flujo se utiliza en línea
con otros programas para generar informes basados en flujos que coinciden con expresiones de filtro.
importación de flujo - Importar datos de formato ASCII o cflowd.
flujo-exportación - Exportar datos a formato ASCII o cflowd.
envío de flujo - Envíe datos a través de la red utilizando el protocolo NetFlow.
flujo-recibir - Reciba exportaciones utilizando el protocolo NetFlow sin almacenarlas en un disco como
captura de flujo.
generador de flujo - Generar datos de prueba.
flujo-dscan - Herramienta simple para detectar algunos tipos de escaneo de red y denegación de
Ataques de servicio.
fluir-fusionar - Fusionar archivos de flujo en orden cronológico.
flujo-xlate - Realizar traducciones en algunos campos de flujo.
flujo-expirar - Expirar los flujos utilizando la misma política de captura de flujo.
encabezado de flujo - Mostrar metainformación en el archivo de flujo.
flujo dividido - Divida los archivos de flujo en archivos más pequeños según el tamaño, el tiempo o las etiquetas.
Utilice las herramientas de flujo en línea utilizando los servicios de onworks.net
