Jest to narzędzie przepływu poleceń, które można uruchomić u dostawcy bezpłatnego hostingu OnWorks przy użyciu jednej z naszych wielu bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online systemu Mac OS
PROGRAM:
IMIĘ
narzędzia przepływu — Zestaw narzędzi do pracy z danymi NetFlow.
OPIS
Flow-tools to biblioteka i zbiór programów używanych do zbierania, wysyłania, przetwarzania i
generować raporty z danych NetFlow. Narzędzia mogą być używane razem na jednym serwerze lub
dystrybuowane do wielu serwerów w przypadku dużych wdrożeń. Biblioteka narzędzi przepływu zapewnia
API do tworzenia niestandardowych aplikacji dla wersji eksportowych NetFlow 1,5,6 i 14
aktualnie zdefiniowane podwersje w wersji 8. Interfejs Perla i Pythona został
przyczyniły się i są objęte dystrybucją.
Dane przepływu są domyślnie gromadzone i przechowywane w kolejności bajtów hosta, ale pliki są
przenośny w architekturze big i little endian.
Polecenia korzystające z sieci używają oznaczenia localip/remoteip/port dla
Komunikacja. „localip” to adres IP, którego host będzie używał jako źródła do wysyłania lub
powiązać podczas odbierania PDU NetFlow (tj. adres docelowy eksportera.
Ustawienie „localip” na 0 zmusi jądro do podjęcia decyzji, do jakiego adresu IP użyć
wysyłanie i nasłuchiwanie na wszystkich adresach IP w celu odbioru. „remoteip” to docelowy adres IP
adres używany do wysyłania lub oczekiwany adres źródła podczas odbierania. Jeśli
"remoteip" wynosi 0, aplikacja będzie akceptować przepływy z dowolnego adresu źródłowego. ten
„port” to numer portu UDP używany do wysyłania lub odbierania. Podczas korzystania z multiemisji
adresy localip/remoteip/port są używane do reprezentowania źródła, grupy i portu
odpowiednio.
Przepływy są eksportowane z routera w wielu różnych konfigurowalnych wersjach. Przepływ
to zbiór kluczowych pól i dodatkowych danych. Klucz przepływu to {srcaddr, dstaddr,
wejście, wyjście, srcport, dstport, prot, ToS}. Flow-tools obsługuje jedną wersję eksportu na
plik.
Wszystkie wersje eksportu 1, 5, 6 i 7 zachowują {nexthop, dPkts, dOctets, First, Last, flags},
tj. adres IP następnego skoku, liczba pakietów, liczba oktetów (bajtów), czas rozpoczęcia, koniec
czas i flagi, takie jak bity nagłówka TCP. Wersja 5 dodaje dodatkowe pola
{src_as, dst_as, src_mask, dst_mask}, tj. AS źródłowy, AS docelowy, maska sieci źródłowej,
i maskę sieci docelowej. Wersja 7, która jest specyficzna dla przełączników Catalyst, dodaje
oprócz wersji 5 pola {router_sc}, czyli adres IP routera, który
wypełnia skrót pamięci podręcznej przepływu w nadzorcy. Wersja 6, która nie jest oficjalnie
obsługiwane przez Cisco dodaje oprócz wersji 5 pola {in_encaps, out_encaps,
peer_nexthop}, tj. rozmiar enkapsulacji interfejsu wejściowego i wyjściowego oraz adres IP
następny skok w obrębie peera. Eksporty w wersji 1 nie zawierają numeru sekwencyjnego i
dlatego należy tego unikać, chociaż bezpiecznie jest przechowywać dane w wersji 1, jeśli
dodatkowe pola nie są używane.
Wersja 8 IOS NetFlow to pamięć podręczna przepływu drugiego poziomu, która redukuje dane eksportowane z
router. Obecnie istnieje 11 formatów, z których wszystkie zapewniają {dFlows, dOctets, dPkts,
Najpierw Last} dla pól kluczowych.
8.1 - Źródłowe i docelowe AS, interfejs wejściowy i wyjściowy
8.2 - Protokół i port
8.3 - Prefiks źródła i interfejs wejściowy
8.4 - Prefiks docelowy i interfejs wyjściowy
8.5 - Prefiks źródła/celu i interfejs wejścia/wyjścia
8.9 - 8.1 + ToS
8.10 - 8.2 + ToS
8.11 - 8.3 + ToS
8.12 - 8.5 + ToS
8.13 - 8.2 + ToS
8.14 - 8.3 + porty + ToS
Wersja 8 CatIOS NetFlow wydaje się być mniej drobnoziarnistą pamięcią podręczną przepływu pierwszego poziomu.
8.6 - Docelowy adres IP, ToS, Oznaczone ToS,
8.7 - Źródłowe/docelowe IP, interfejs wejścia/wyjścia, ToS, zaznaczone ToS,
8.8 - Źródłowe/docelowe IP, źródło/docelowe porty,
Interfejs wejścia/wyjścia, ToS, Oznaczony ToS,
W dystrybucji flow-tools znajdują się następujące programy.
przechwytywanie przepływu - Zbieraj, kompresuj, przechowuj i zarządzaj miejscem na dysku dla wyeksportowanych przepływów z
Router.
kot przepływowy - Połącz pliki przepływu. Zazwyczaj pliki flow zawierają małe okno 5
lub 15 minut eksportu. Flow-cat może być używany do dołączania plików do generowania raportów
które obejmują dłuższe okresy czasu.
przepływ-fanout - Replikuj datagramy NetFlow do miejsc docelowych emisji pojedynczej lub multiemisji. Pływ-
fanout służy do ułatwienia wielu kolektorów podłączonych do jednego routera.
raport przepływu - Generuj raporty dla zestawów danych NetFlow. Raporty zawierają źródło/miejsce docelowe
Pary IP, źródło/docel AS i najlepsi rozmówcy. Obecnie jest ponad 50 raportów
utrzymany.
znacznik przepływu - Przepływ tagów na podstawie adresu IP lub numeru AS. Flow-tag służy do grupowania przepływów według
sieć klientów. Tagi mogą być później użyte z flow-fanout lub flow-raport do wygenerowania
raporty ruchu oparte na klientach.
filtr przepływu - Filtruj przepływy na podstawie dowolnych pól eksportu. Filtr przepływu jest używany w linii
z innymi programami do generowania raportów na podstawie przepływów pasujących do wyrażeń filtrów.
import-przepływu - Importuj dane z formatu ASCII lub cflowd.
przepływ-eksport - Eksportuj dane do formatu ASCII lub cflowd.
wysyłanie strumieniowe - Wysyłaj dane przez sieć za pomocą protokołu NetFlow.
przepływ-odbiór - Odbieraj eksporty za pomocą protokołu NetFlow bez przechowywania na dysku, jak
przechwytywanie przepływu.
przepływ-gen - Generuj dane testowe.
flow-dscan - Proste narzędzie do wykrywania niektórych typów skanowania sieciowego i odmowy
Ataki usługowe.
łączenie przepływów - Scalanie plików przepływu w porządku chronologicznym.
przepływ-xlate - Wykonuj tłumaczenia na niektórych polach przepływu.
przepływ-wygasa - Wygasa przepływy przy użyciu tej samej polityki przechwytywania przepływów.
nagłówek przepływu - Wyświetlaj meta informacje w pliku przepływu.
przepływ-split - Podziel pliki przepływu na mniejsze pliki na podstawie rozmiaru, czasu lub tagów.
Korzystaj z narzędzi przepływu online, korzystając z usług onworks.net
