นี่คือเครื่องมือการไหลของคำสั่งที่สามารถเรียกใช้ในผู้ให้บริการโฮสต์ฟรีของ OnWorks โดยใช้เวิร์กสเตชันออนไลน์ฟรีของเรา เช่น Ubuntu Online, Fedora Online, โปรแกรมจำลองออนไลน์ของ Windows หรือโปรแกรมจำลองออนไลน์ของ MAC OS
โครงการ:
ชื่อ
เครื่องมือการไหล — ชุดเครื่องมือสำหรับการทำงานกับข้อมูล NetFlow
DESCRIPTION
Flow-tools คือไลบรารีและชุดของโปรแกรมที่ใช้ในการรวบรวม ส่ง ประมวลผล และ
สร้างรายงานจากข้อมูล NetFlow สามารถใช้เครื่องมือร่วมกันบนเซิร์ฟเวอร์เดียวหรือ
กระจายไปยังเซิร์ฟเวอร์หลายเครื่องสำหรับการปรับใช้ขนาดใหญ่ ไลบรารีโฟลว์ทูลส์มีให้
API สำหรับการพัฒนาแอปพลิเคชันแบบกำหนดเองสำหรับการส่งออก NetFlow เวอร์ชัน 1,5,6 และ 14
เวอร์ชันย่อยที่กำหนดไว้ในปัจจุบัน 8 อินเทอร์เฟซ Perl และ Python ได้รับ
มีส่วนร่วมและรวมอยู่ในการแจกจ่าย
ข้อมูลโฟลว์จะถูกรวบรวมและจัดเก็บตามค่าเริ่มต้นในลำดับไบต์ของโฮสต์ แต่ไฟล์นั้น
แบบพกพาข้ามสถาปัตยกรรม endian ขนาดใหญ่และขนาดเล็ก
คำสั่งที่ใช้เครือข่ายใช้การกำหนด localip/remoteip/port สำหรับ
การสื่อสาร. "localip" คือที่อยู่ IP ที่โฮสต์จะใช้เป็นแหล่งสำหรับส่งหรือ
ผูกกับเมื่อได้รับ NetFlow PDU (เช่นที่อยู่ปลายทางของผู้ส่งออก
การกำหนดค่า "localip" เป็น 0 จะบังคับให้เคอร์เนลตัดสินใจว่าจะใช้ที่อยู่ IP ใดสำหรับ
การส่งและฟังที่อยู่ IP ทั้งหมดเพื่อรับ "remoteip" คือ IP ปลายทาง
ที่อยู่ที่ใช้สำหรับส่งหรือที่อยู่ที่คาดหวังของต้นทางเมื่อได้รับ ถ้า
"remoteip" เป็น 0 จากนั้นแอปพลิเคชันจะยอมรับกระแสจากที่อยู่ต้นทางใด ๆ NS
"พอร์ต" คือหมายเลขพอร์ต UDP ที่ใช้สำหรับส่งหรือรับ เมื่อใช้มัลติคาสต์
ระบุ localip/remoteip/port ที่ใช้เพื่อแสดงแหล่งที่มา กลุ่ม และพอร์ต
ตามลำดับ
โฟลว์ถูกส่งออกจากเราเตอร์ในเวอร์ชันที่กำหนดค่าได้หลายเวอร์ชัน ไหล
คือชุดข้อมูลสำคัญและข้อมูลเพิ่มเติม คีย์โฟลว์คือ {srcaddr, dstaddr,
อินพุต, เอาต์พุต, srcport, dstport, prot, ToS} Flow-tools รองรับหนึ่งเวอร์ชันการส่งออกต่อ
ไฟล์
ส่งออกเวอร์ชัน 1, 5, 6 และ 7 ทั้งหมดรักษา {nexthop, dPkts, dOctets, First, Last, flags},
เช่น ที่อยู่ IP ของฮ็อพถัดไป จำนวนแพ็กเก็ต จำนวนออคเต็ต (ไบต์) เวลาเริ่มต้น สิ้นสุด
เวลา และแฟล็ก เช่น บิตส่วนหัว TCP เวอร์ชั่น 5 เพิ่มช่องเพิ่มเติม
{src_as, dst_as, src_mask, dst_mask} เช่น AS ต้นทาง, AS ปลายทาง, มาสก์เครือข่ายต้นทาง,
และมาสก์เครือข่ายปลายทาง เวอร์ชัน 7 ซึ่งเฉพาะสำหรับสวิตช์ Catalyst เพิ่ม
นอกเหนือจากช่องเวอร์ชัน 5 {router_sc} ซึ่งเป็นที่อยู่ IP ของเราเตอร์ซึ่ง
เติมทางลัดแคชโฟลว์ในหัวหน้างาน รุ่น 6 ที่ไม่เป็นทางการ
รองรับโดย Cisco เพิ่มนอกเหนือจากรุ่น 5 ฟิลด์ {in_encaps, out_encaps,
peer_nexthop} เช่น ขนาดการห่อหุ้มอินเทอร์เฟซอินพุตและเอาต์พุต และที่อยู่ IP ของ
กระโดดต่อไปภายในเพียร์ การส่งออกเวอร์ชัน 1 ไม่มีหมายเลขลำดับและ
ดังนั้นจึงควรหลีกเลี่ยง แม้ว่าการจัดเก็บข้อมูลเป็นเวอร์ชัน 1 จะปลอดภัยหาก
ไม่ได้ใช้ฟิลด์เพิ่มเติม
เวอร์ชัน 8 IOS NetFlow เป็นแคชโฟลว์ระดับที่สองที่ลดข้อมูลที่ส่งออกจาก
เราเตอร์ ปัจจุบันมี 11 รูปแบบ ซึ่งทั้งหมดมี {dFlows, dOctets, dPkts,
First, Last} สำหรับช่องคีย์
8.1 - แหล่งที่มาและปลายทาง AS, อินเทอร์เฟซอินพุตและเอาต์พุต
8.2 - โปรโตคอลและพอร์ต
8.3 - คำนำหน้าแหล่งที่มาและอินเทอร์เฟซอินพุต
8.4 - คำนำหน้าปลายทางและอินเทอร์เฟซเอาต์พุต
8.5 - คำนำหน้าต้นทาง/ปลายทางและอินเทอร์เฟซอินพุต/เอาต์พุต
8.9 - 8.1 + ข้อกำหนดในการให้บริการ
8.10 - 8.2 + ข้อกำหนดในการให้บริการ
8.11 - 8.3 + ข้อกำหนดในการให้บริการ
8.12 - 8.5 + ข้อกำหนดในการให้บริการ
8.13 - 8.2 + ข้อกำหนดในการให้บริการ
8.14 - 8.3 + พอร์ต + ToS
เวอร์ชัน 8 CatIOS NetFlow ดูเหมือนจะเป็นแคชโฟลว์ระดับแรกที่ละเอียดน้อยกว่า
8.6 - IP ปลายทาง, ข้อกำหนดในการให้บริการ, ข้อกำหนดในการให้บริการที่ทำเครื่องหมายไว้
8.7 - IP ต้นทาง/ปลายทาง, อินเทอร์เฟซอินพุต/เอาต์พุต, ToS, ToS ที่ทำเครื่องหมายไว้
8.8 - IP ต้นทาง/ปลายทาง, พอร์ตต้นทาง/ปลายทาง,
อินเทอร์เฟซอินพุต/เอาต์พุต, ToS, ToS ที่ทำเครื่องหมาย,
โปรแกรมต่อไปนี้รวมอยู่ในการแจกจ่ายเครื่องมือโฟลว์
ไหลจับ - รวบรวม บีบอัด จัดเก็บ และจัดการพื้นที่ดิสก์สำหรับโฟลว์ที่ส่งออกจากa
เราเตอร์
ไหลแมว - เชื่อมต่อไฟล์โฟลว์ โดยทั่วไปไฟล์โฟลว์จะมีหน้าต่างขนาดเล็ก 5
หรือ 15 นาทีของการส่งออก Flow-cat สามารถใช้ต่อท้ายไฟล์เพื่อสร้างรายงานได้
ที่มีระยะเวลายาวนานขึ้น
ไหล-fanout - จำลองดาตาแกรม NetFlow ไปยังปลายทางแบบ unicast หรือ multicast ไหล-
fanout ใช้เพื่ออำนวยความสะดวกให้ตัวสะสมหลายตัวเชื่อมต่อกับเราเตอร์ตัวเดียว
รายงานการไหล - สร้างรายงานสำหรับชุดข้อมูล NetFlow รายงานรวมถึงต้นทาง/ปลายทาง
คู่ IP, AS ต้นทาง/ปลายทาง และนักพูดชั้นนำ ปัจจุบันมีรายงานมากกว่า 50 รายการ
ได้รับการสนับสนุน.
แท็กไหล - แท็กโฟลว์ตามที่อยู่ IP หรือ AS # Flow-tag ใช้เพื่อจัดกลุ่มโฟลว์โดย
เครือข่ายลูกค้า แท็กสามารถใช้กับ flow-fanout หรือ flow-report เพื่อสร้าง
รายงานการจราจรตามลูกค้า
ตัวกรองการไหล - กรองโฟลว์ตามฟิลด์ส่งออกใด ๆ ใช้ตัวกรองการไหลแบบอินไลน์
กับโปรแกรมอื่นๆ เพื่อสร้างรายงานตามนิพจน์ตัวกรองโฟลว์ที่ตรงกัน
กระแสนำเข้า - นำเข้าข้อมูลจาก ASCII หรือรูปแบบ cflowd
กระแส-ส่งออก - ส่งออกข้อมูลเป็นรูปแบบ ASCII หรือ cflowd
ไหลส่ง - ส่งข้อมูลผ่านเครือข่ายโดยใช้โปรโตคอล NetFlow
ไหล-รับ - รับการส่งออกโดยใช้โปรโตคอล NetFlow โดยไม่ต้องจัดเก็บลงในดิสก์เช่น
ไหลจับ
Flow-gen - สร้างข้อมูลการทดสอบ
โฟลว์-dscan - เครื่องมือง่าย ๆ สำหรับตรวจจับการสแกนเครือข่ายบางประเภทและการปฏิเสธ
การโจมตีบริการ
ไหลผสาน - รวมไฟล์โฟลว์ตามลำดับเวลา
ไหล xlate - ทำการแปลในบางฟิลด์โฟลว์
ไหลหมดอายุ - หมดอายุโฟลว์โดยใช้นโยบายเดียวกันกับโฟลว์แคปเจอร์
หัวไหล - แสดงข้อมูลเมตาในไฟล์โฟลว์
ไหลแยก - แยกไฟล์โฟลว์เป็นไฟล์ขนาดเล็กลงตามขนาด เวลา หรือแท็ก
ใช้เครื่องมือโฟลว์ออนไลน์โดยใช้บริการ onworks.net
