flow-tools - Online na nuvem

PROGRAMA:

NOME

ferramentas de fluxo - Conjunto de ferramentas para trabalhar com dados NetFlow.

DESCRIÇÃO

Flow-tools é uma biblioteca e uma coleção de programas usados ​​para coletar, enviar, processar e
gerar relatórios de dados do NetFlow. As ferramentas podem ser usadas juntas em um único servidor ou
distribuído a vários servidores para grandes implantações. A biblioteca de ferramentas de fluxo fornece
uma API para o desenvolvimento de aplicativos personalizados para as versões de exportação do NetFlow 1,5,6 e 14
subversões atualmente definidas da versão 8. Uma interface Perl e Python foi
contribuíram e estão incluídos na distribuição.

Os dados de fluxo são coletados e armazenados por padrão na ordem de bytes do host, mas os arquivos são
portátil em arquiteturas big e little endian.

Os comandos que utilizam a rede usam uma designação localip / remoteip / port para
comunicação. "localip" é o endereço IP que o host usará como fonte para envio ou
vincular ao receber PDU do NetFlow (ou seja, o endereço de destino do exportador.
Configurar o "localip" para 0 forçará o kernel a decidir qual endereço IP usar para
enviar e ouvir em todos os endereços IP para recebimento. "remoteip" é o IP de destino
endereço usado para enviar ou o endereço esperado da fonte ao receber. Se o
"remoteip" é 0, então o aplicativo aceitará fluxos de qualquer endereço de origem. o
"porta" é o número da porta UDP usado para enviar ou receber. Ao usar multicast
endereços o localip / remoteip / port é usado para representar a fonte, o grupo e a porta
respectivamente.

Os fluxos são exportados de um roteador em várias versões configuráveis ​​diferentes. Um fluxo
é uma coleção de campos-chave e dados adicionais. A chave de fluxo é {srcaddr, dstaddr,
entrada, saída, srcport, dstport, prot, ToS}. Flow-tools suporta uma versão de exportação por
arquivo.

Todas as versões de exportação 1, 5, 6 e 7 mantêm {nexthop, dPkts, dOctets, First, Last, flags},
ou seja, o endereço IP do próximo salto, número de pacotes, número de octetos (bytes), hora de início, fim
hora e sinalizadores, como os bits do cabeçalho TCP. A versão 5 adiciona os campos adicionais
{src_as, dst_as, src_mask, dst_mask}, ou seja, AS de origem, AS de destino, máscara de rede de origem,
e máscara de rede de destino. A versão 7, que é específica para os switches Catalyst, adiciona
além dos campos da versão 5 {router_sc}, que é o endereço IP do roteador que
preenche o atalho do cache de fluxo no Supervisor. Versão 6 que não é oficialmente
suportado pela Cisco adiciona, além dos campos da versão 5 {in_encaps, out_encaps,
peer_nexthop}, ou seja, o tamanho do encapsulamento da interface de entrada e saída e o endereço IP de
o próximo salto dentro do par. As exportações da versão 1 não contêm um número de sequência e
portanto, deve ser evitado, embora seja seguro armazenar os dados como versão 1 se o
campos adicionais não são usados.

Versão 8 IOS NetFlow é um cache de fluxo de segundo nível que reduz os dados exportados do
roteador. Existem atualmente 11 formatos, todos os quais fornecem {dFlows, dOctets, dPkts,
Primeiro, Último} para os campos-chave.

8.1 - AS de origem e destino, interface de entrada e saída
8.2 - Protocolo e Porta
8.3 - Prefixo da fonte e interface de entrada
8.4 - Prefixo de destino e interface de saída
8.5 - Prefixo de origem / destino e interface de entrada / saída
8.9 - 8.1 + ToS
8.10 - 8.2 + ToS
8.11 - 8.3 + ToS
8.12 - 8.5 + ToS
8.13 - 8.2 + ToS
8.14 - 8.3 + portas + ToS

A versão 8 do CatIOS NetFlow parece ser um cache de fluxo de primeiro nível de baixa granularidade.

8.6 - IP de destino, ToS, ToS marcado,
8.7 - IP de origem / destino, interface de entrada / saída, ToS, ToS marcado,
8.8 - IP de Origem / Destino, Porta de Origem / Destino,
Interface de entrada / saída, ToS, ToS marcado,

Os programas a seguir estão incluídos na distribuição de ferramentas de fluxo.

captura de fluxo - Colete, comprima, armazene e gerencie o espaço em disco para fluxos exportados de um
roteador.

gato de fluxo - Arquivos de fluxo concatenados. Normalmente, os arquivos de fluxo conterão uma pequena janela de 5
ou 15 minutos de exportação. Flow-cat pode ser usado para anexar arquivos para gerar relatórios
que abrangem períodos de tempo mais longos.

fluxo-fanout - Replique datagramas NetFlow para destinos unicast ou multicast. Fluxo-
fanout é usado para facilitar múltiplos coletores conectados a um único roteador.

relatório de fluxo - Gere relatórios para conjuntos de dados NetFlow. Os relatórios incluem origem / destino
Pares de IP, AS de origem / destino e locutores superiores. Mais de 50 relatórios estão atualmente
suportado.

tag de fluxo - Fluxos de tag com base no endereço IP ou AS #. Tag de fluxo é usada para agrupar fluxos por
rede do cliente. As tags podem ser usadas posteriormente com flow-fanout ou flow-report para gerar
relatórios de tráfego com base no cliente.

filtro de fluxo - Filtrar fluxos com base em qualquer um dos campos de exportação. O filtro de fluxo é usado em linha
com outros programas para gerar relatórios com base em fluxos correspondentes a expressões de filtro.

importação de fluxo - Importar dados do formato ASCII ou cflowd.

fluxo-exportação - Exportar dados para o formato ASCII ou cflowd.

enviar fluxo - Envie dados pela rede usando o protocolo NetFlow.

fluir-receber - Receber exportações usando o protocolo NetFlow sem armazenar em disco como
captura de fluxo.

geração de fluxo - Gerar dados de teste.

fluxo-dscan - Ferramenta simples para detectar alguns tipos de varredura de rede e negação de
Ataques de serviço.

mesclagem de fluxo - Mesclar arquivos de fluxo em ordem cronológica.

fluxo-xlate - Faça traduções em alguns campos de fluxo.

fluxo-expiração - Expira fluxos usando a mesma política de captura de fluxo.

cabeçalho de fluxo - Exibir meta informações no arquivo de fluxo.

divisão de fluxo - Divida os arquivos de fluxo em arquivos menores com base no tamanho, tempo ou tags.

Use ferramentas de fluxo online usando serviços onworks.net