Ito ang command flow-tools-halimbawa na maaaring patakbuhin sa OnWorks na libreng hosting provider gamit ang isa sa aming maramihang libreng online na workstation gaya ng Ubuntu Online, Fedora Online, Windows online emulator o MAC OS online emulator
PROGRAMA:
NAME
flow-tools-halimbawa — Halimbawa ng paggamit ng flow-tools.
Halimbawa - Pag-configure Cisco IOS Router
Naka-configure ang NetFlow sa bawat input interface, pagkatapos ay ginagamit ang mga global command upang tukuyin
ang destinasyon ng pag-export. Upang matiyak ang isang pare-pareho ang address ng pinagmulan ng address na Loopback0
na-configure bilang pinagmulan ng pag-export.
ipinamahagi ang ip cef
ip flow-export version 5 origin-as
ip flow-export destination 10.0.0.100 5004
ip flow-export source Loopback0
interface Loopback0
ip address 10.1.1.1
interface FastEthernet0/1/0
ip address 10.0.0.1
walang ip directed-broadcast
ip ruta-cache daloy
ip route-cache na ipinamahagi
Maraming iba pang mga opsyon ang umiiral tulad ng pinagsama-samang NetFlow at naka-sample na NetFlow na detalyado
at (link sa URL http://www.cisco.com) .
Halimbawa - Pag-configure Cisco CatIOS lumipat
Sinusuportahan ng ilang Cisco Catalyst switch ang ibang pagpapatupad ng NetFlow
isinagawa sa superbisor. Gamit ang modelo ng pagpapasa batay sa cache na ipinatupad
sa Catalyst 55xx na may Route Switch Module (RSM) at NetFlow Feature Card (NFFC), ang
Pinoproseso ng RSM ang unang daloy at ang natitirang mga packet sa daloy ay ipinapasa ng
Superbisor. Ito ay ipinatupad din sa mga unang bersyon ng 65xx na may MSFC. Ang
Ang deterministic na modelo ng pagpapasa na ginamit sa 65xx na may MSFC2 ay hindi gumagamit ng NetFlow upang matukoy
ang path ng pagpapasa, ang cache ng daloy ay ginagamit lamang para sa mga istatistika tulad ng sa kasalukuyang IOS
mga pagpapatupad. Sa lahat ng nasa itaas na mga configuration, dumarating ang mga pag-export mula sa parehong
RSM/MSFC at ang Supervisor engine bilang natatanging stream. Sa pinakamasamang cast ang RSM
mga export sa bersyon 5 at ang Supervisor ay nag-export sa bersyon 7. Sa kabutihang palad flow-capture
at ang flow-receive ay maaaring ayusin ang lahat ng ito sa pamamagitan ng pagproseso ng mga daloy mula sa parehong pinagmulan at
pag-convert sa kanila sa isang karaniwang format ng pag-export.
Ang gilid ng router na tumatakbo sa IOS ay naka-configure nang kapareho sa halimbawang ibinigay sa itaas. Ang
Ang configuration ng CatIOS NetFlow Data Export ay sumusunod:
itakda ang daloy ng mls na puno
itakda ang mls nde bersyon 7
itakda ang mls nde 10.0.0.1 9800
itakda ang mls nde paganahin
Kapag ang 65xx ay tumatakbo sa Native mode, mula sa pananaw ng mga user ay ang switch lang
tumatakbo sa IOS.
Ang mas detalyadong mga halimbawa ay matatagpuan sa web site ng Cisco
(link sa URL http://www.cisco.com) .
Halimbawa - Pag-configure Halaman ng dyuniper Router
Sinusuportahan ng Juniper ang mga daloy ng pag-export ng mga routing engine sampling packet header at
pagsasama-sama ng mga ito sa mga daloy. Ginagawa ang packet sampling sa pamamagitan ng pagtukoy sa isang filter ng firewall sa
tanggapin at tikman ang lahat ng trapiko, ilapat ang panuntunang iyon sa interface, pagkatapos ay i-configure ang
opsyon sa pagpasa ng sampling.
mga interface {
ge-0/3/0 {
unit 0 {
pamilya inet {
filter {
ipasok ang lahat;
output lahat;
}
address 10.0.0.1/24;
}
}
}
firewall {
i-filter lahat {
term lahat {
tapos {
sample;
tanggapin;
}
}
}
}
mga opsyon sa pagpapasa {
sampling {
input {
pamilya inet {
rate 100;
}
}
output {
cflowd 10.0.0.100 {
port 9800;
bersyon 5;
}
}
}
}
Umiiral ang iba pang mga opsyon gaya ng pinagsama-samang daloy na nakadetalye sa (link sa URL
http://www.juniper.net) .
Halimbawa - network topology at daloy.acl
Ang network topology at flow.acl ay gagamitin para sa marami sa mga sumusunod na halimbawa.
Ang mga daloy ay kinokolekta at iniimbak sa /flows/R.
ISP-A ISP-B
++
++
IP=10.1.2.1/24 + + IP=10.1.1.1/24
ifIndex=2 + + ifIndex=1
interface=serial1/1 + + interface=serial0/0
-----
| R | Router ng Campus
-----
++
IP=10.1.4.1/24 + + IP=10.1.3.1/24
ifIndex=4 + + ifIndex=3
interface=Ethernet1/1 + + interface=Ethernet0/0
++
Sales Marketing
ip access-list standard sales permit 10.1.4.0 0.0.0.255
ip access-list standard not_sales deny 10.1.4.0 0.0.0.255
ip access-list standard marketing permit 10.1.3.0 0.0.0.255
ip access-list standard not_marketing deny 10.1.3.0 0.0.0.255
ip access-list standard campus permit 10.1.4.0 0.0.0.255
ip access-list standard campus permit 10.1.3.0 0.0.0.255
ip access-list standard not_campus deny 10.1.4.0 0.0.0.255
ip access-list standard not_campus deny 10.1.3.0 0.0.0.255
ip access-list standard evil_hacket permit host 10.6.6.6
ip access-list standard spoofer permit host 10.9.9.9
ip access-list standard multicast 224.0.0.0 15.255.255.255
Halimbawa - Pagkatuklas niloko addresses
Ang isang karaniwang problema sa Internet ay ang paggamit ng "spoofed" (mga address na hindi nakatalaga
sa isang organisasyon) para sa paggamit sa mga pag-atake ng DoS o pagkompromiso sa mga server na umaasa sa pinagmulan
IP address para sa pagpapatunay.
Ipakita ang lahat ng mga talaan ng daloy na nagmula sa campus at ipinadala sa Internet ngunit
ay hindi gumagamit ng mga legal na address.
agos-pusa /flows/R | flow-filter -Snot_campus -Ako1,2 | daloy-print
Buod ng mga destinasyon ng mga internally spoofed na address na pinagsunod-sunod ayon sa mga octet.
agos-pusa /flows/R | flow-filter -Snot_campus -Ako1,2 | daloy-stat -f8 -S2
Buod ng mga pinagmumulan ng internally spoofed na mga address na pinagsunod-sunod ayon sa mga daloy.
agos-pusa /flows/R | flow-filter -Snot_campus -Ako1,2 | daloy-stat -f9 -S1
Buod ng internally spoofed source at destination pairs na pinagsunod-sunod ayon sa mga packet.
agos-pusa /flows/R | flow-filter -Snot_campus -Ako1,2 | daloy-stat -f10 -S4
Ipakita ang lahat ng mga talaan ng daloy na nagmumula sa labas ng campus na may mga address ng campus.
Maraming beses ang mga ito ay maaaring mga umaatake na sumusubok na samantalahin ang mga mekanismo ng pagpapatunay na nakabatay sa host
tulad ng mga utos ng unix r*. Ang isa pang karaniwang mapagkukunan ay ang mga mobile client na nagpapadala ng mga packet gamit ang
kanilang mga address sa campus bago makakuha ng wastong IP.
agos-pusa /flows/R | flow-filter -Scampus -i1,2 | daloy-print
Buod ng mga destinasyon ng externally spoofed na mga address na pinagsunod-sunod ayon sa mga octet.
agos-pusa /flows/R | flow-filter -Scampus -i1,2 | daloy-stat -f8 -S2
Halimbawa - Hanapin host paggamit or tumatakbo mga serbisyo
Hanapin ang lahat ng SMTP server na aktibo sa panahon ng koleksyon na naitatag
mga koneksyon sa Internet. Buod na pinagsunod-sunod ayon sa mga octet.
agos-pusa /flows/R | flow-filter -Ako1,2 - P25 | daloy-stat -f9 -S2
Hanapin ang lahat ng papalabas na koneksyon ng NNTP sa Internet. Ibigay ang buod sa pinagmulan at patutunguhan
IP inayos ayon sa octets.
agos-pusa /flows/R | flow-filter -Ako1,2 - P119 | daloy-stat -f10 -S3
Hanapin ang lahat ng papasok na NNTP na koneksyon sa Internet. Ibuod sa pinagmulan at patutunguhan
IP inayos ayon sa octets.
agos-pusa /flows/R | flow-filter -i1,2 - P119 | daloy-stat -f10 -S3
Halimbawa - Maramihang paggamit
Ibuod ang Multicast S,G kung saan ang mga source ay nasa campus.
agos-pusa /flows/R | flow-filter -Dmulticast -Ako1,2 | daloy-stat -f10 -S3
Ibuod ang Multicast S,G kung saan ang mga source ay nasa labas ng campus.
agos-pusa /flows/R | flow-filter -Dmulticast -i1,2 | daloy-stat -f10 -S3
Halimbawa - Mahanap Scanner
Maghanap ng mga SMTP scanner na may flow-dscan. Makakakita rin ito ng mga SMTP client na sumusubok na makipag-ugnayan
maraming server. Ang pag-uugali na ito ay nailalarawan sa pamamagitan ng isang kamakailang Microsoft worm.
hawakan dscan.suppress.src dscan.suppress.dst
agos-pusa /flows/R | flow-filter - P25 | daloy-dscan -b
Gumamit ng mga flow-tools-examples online gamit ang mga serbisyo ng onworks.net
