flow-tools - Online în cloud

PROGRAM:

NUME

unelte-flux — Set de instrumente pentru lucrul cu datele NetFlow.

DESCRIERE

Flow-tools este o bibliotecă și o colecție de programe utilizate pentru a colecta, trimite, procesa și
generați rapoarte din datele NetFlow. Instrumentele pot fi utilizate împreună pe un singur server sau
distribuit pe mai multe servere pentru implementări mari. Biblioteca flow-toools oferă
un API pentru dezvoltarea de aplicații personalizate pentru versiunile de export NetFlow 1,5,6 și 14
definite în prezent versiunea 8 subversiuni. O interfață Perl și Python au fost
au contribuit și sunt incluse în distribuție.

Datele de flux sunt colectate și stocate implicit în ordinea octeților gazdei, dar fișierele sunt
portabil prin arhitecturi mari și mici endian.

Comenzile care utilizează rețeaua folosesc o desemnare local/remoteip/port pentru
comunicare. „localip” este adresa IP pe care gazda o va folosi ca sursă pentru trimitere sau
se leagă la primirea PDU-urilor NetFlow (adică adresa de destinație a exportatorului.
Configurarea „localip” la 0 va forța nucleul să decidă pentru ce adresă IP să folosească
trimiterea și ascultarea tuturor adreselor IP pentru primire. „remoteip” este IP-ul de destinație
adresa folosită pentru trimitere sau adresa așteptată a sursei la primire. Dacă
„remoteip” este 0, atunci aplicația va accepta fluxuri de la orice adresă sursă. The
„port” este numărul portului UDP utilizat pentru trimitere sau primire. Când utilizați multicast
adresele local/remoteip/portul sunt folosite pentru a reprezenta sursa, grupul și portul
respectiv.

Fluxurile sunt exportate de pe un router într-un număr de versiuni diferite configurabile. Un flux
este o colecție de câmpuri cheie și date suplimentare. Cheia de flux este {srcaddr, dstaddr,
intrare, ieșire, srcport, dstport, prot, ToS}. Flow-tools acceptă o versiune de export per fiecare
fișier.

Export versiunile 1, 5, 6 și 7 mențin toate {nexthop, dPkts, dOctets, First, Last, flags},
adică adresa IP din următorul hop, numărul de pachete, numărul de octeți (octeți), ora de începere, de sfârșit
timp și steaguri, cum ar fi biții de antet TCP. Versiunea 5 adaugă câmpurile suplimentare
{src_as, dst_as, src_mask, dst_mask}, adică AS sursă, AS destinație, mască de rețea sursă,
și masca de rețea de destinație. Versiunea 7 care este specifică comutatoarelor Catalyst adaugă
în plus față de câmpurile versiunii 5 {router_sc}, care este adresa IP a routerului care
populează comanda rapidă pentru fluxul cache în Supervisor. Versiunea 6 care nu este oficial
acceptat de Cisco adaugă în plus față de versiunea 5 câmpuri {in_encaps, out_encaps,
peer_nexthop}, adică dimensiunea încapsulării interfeței de intrare și ieșire și adresa IP a
următorul hop în cadrul egalului. Exporturile versiunii 1 nu conțin un număr de secvență și
prin urmare, ar trebui evitată, deși este sigur să stocați datele ca versiunea 1 dacă
câmpurile suplimentare nu sunt utilizate.

Versiunea 8 IOS NetFlow este un flux cache de nivel al doilea care reduce datele exportate din
router. În prezent, există 11 formate, toate oferind {dFlows, dOctets, dPkts,
În primul rând, Last} pentru câmpurile cheie.

8.1 - Sursă și destinație AS, interfață de intrare și ieșire
8.2 - Protocol și Port
8.3 - Prefix sursă și interfață de intrare
8.4 - Prefixul destinației și interfața de ieșire
8.5 - Prefix sursă/destinație și interfață de intrare/ieșire
8.9 - 8.1 + ToS
8.10 - 8.2 + ToS
8.11 - 8.3 + ToS
8.12 - 8.5 + ToS
8.13 - 8.2 + ToS
8.14 - 8.3 + porturi + ToS

Versiunea 8 CatIOS NetFlow pare a fi un cache de flux de prim nivel mai puțin fin.

8.6 - IP destinație, ToS, ToS marcat,
8.7 - IP sursă/destinație, interfață de intrare/ieșire, ToS, ToS marcat,
8.8 - IP sursă/destinație, sursă/port de destinație,
Interfață de intrare/ieșire, ToS, ToS marcat,

Următoarele programe sunt incluse în distribuția de instrumente de flux.

flux-captare - Colectați, comprimați, stocați și gestionați spațiul pe disc pentru fluxurile exportate de la a
router.

flow-cat - Concatenează fișierele flux. De obicei, fișierele flux vor conține o fereastră mică de 5
sau 15 minute de exporturi. Flow-cat poate fi folosit pentru a adăuga fișiere pentru generarea de rapoarte
care se întind pe perioade mai lungi de timp.

flux-fanout - Replicați datagramele NetFlow către destinații unicast sau multicast. Curgere-
fanout este folosit pentru a facilita mai mulți colectori atașați la un singur router.

flux-raport - Generați rapoarte pentru seturile de date NetFlow. Rapoartele includ sursa/destinația
Perechi IP, AS sursă/destinație și vorbitori de top. Peste 50 de rapoarte sunt în prezent
sprijinit.

etichetă de flux - Fluxuri de etichete bazate pe adresa IP sau AS #. Flow-tag este folosit pentru a grupa fluxurile după
rețeaua de clienți. Etichetele pot fi utilizate ulterior cu flow-fanout sau flow-report pentru a genera
rapoarte de trafic bazate pe clienți.

flux-filtru - Filtrați fluxurile în funcție de oricare dintre câmpurile de export. Filtrul de flux este utilizat în linie
cu alte programe pentru a genera rapoarte bazate pe fluxuri care corespund expresiilor de filtru.

flux-import - Importă date din format ASCII sau cflowd.

flux-export - Exportați datele în format ASCII sau cflowd.

flux-trimitere - Trimiteți date prin rețea folosind protocolul NetFlow.

flux-primire - Primiți exporturi folosind protocolul NetFlow fără a stoca pe disc
flux-captare.

flux-gen - Generați date de testare.

flow-dscan - Instrument simplu pentru detectarea unor tipuri de scanare în rețea și refuzare
Atacurile la serviciu.

flux-imbinare - Îmbinați fișierele de flux în ordine cronologică.

flux-xlate - Efectuați traduceri pe unele câmpuri de flux.

flux-expirare - Expira fluxurile folosind aceeași politică de captare a fluxului.

flux-header - Afișează meta informații în fișierul flux.

flux-divizat - Împărțiți fișierele flux în fișiere mai mici în funcție de dimensiune, timp sau etichete.

Utilizați flow-tools online folosind serviciile onworks.net