flow-tools – онлайн у хмарі

ПРОГРАМА:

ІМ'Я

flow-інструменти — Набір інструментів для роботи з даними NetFlow.

ОПИС

Flow-tools — це бібліотека та набір програм, які використовуються для збору, відправки, обробки та
створювати звіти з даних NetFlow. Інструменти можна використовувати разом на одному сервері або
поширюється на декілька серверів для великих розгортань. Надає бібліотека flow-toools
API для розробки спеціальних програм для експорту NetFlow версій 1,5,6 і 14
наразі визначені підверсії версії 8. Інтерфейс Perl і Python був
внесені та включені до розповсюдження.

Дані потоку збираються та зберігаються за замовчуванням у порядку байтів хоста, але файли є
портативний між великими та малими архітектурами.

Команди, які використовують мережу, використовують позначення localip/remoteip/port
спілкування. "localip" - це IP-адреса, яку хост використовуватиме як джерело для надсилання або
прив’язуватися до при отриманні NetFlow PDU (тобто адреса призначення експортера.
Налаштування "localip" на 0 змусить ядро ​​вирішити, для якої IP-адреси використовувати
надсилання та прослуховування всіх IP-адрес для отримання. "remoteip" - це IP-адреса призначення
адреса, що використовується для відправлення, або очікувана адреса джерела при отриманні. Якщо
"remoteip" дорівнює 0, тоді програма прийматиме потоки з будь-якої адреси джерела. The
"порт" - це номер порту UDP, який використовується для надсилання або отримання. При використанні багатоадресної передачі
адреси localip/remoteip/port використовується для представлення джерела, групи та порту
відповідно.

Потоки експортуються з маршрутизатора в кількох різних конфігурованих версіях. Потік
це набір ключових полів і додаткових даних. Ключ потоку: {srcaddr, dstaddr,
input, output, srcport, dstport, prot, ToS}. Flow-tools підтримує одну версію експорту на кожну
файлу.

Експортувати версії 1, 5, 6 і 7 підтримують {nexthop, dPkts, dOctets, First, Last, flags},
тобто IP-адреса наступного переходу, кількість пакетів, кількість октетів (байтів), час початку, закінчення
час і прапори, такі як біти заголовка TCP. Версія 5 додає додаткові поля
{src_as, dst_as, src_mask, dst_mask}, тобто вихідна AS, цільова AS, вихідна мережева маска,
і маску мережі призначення. Версія 7, яка стосується комутаторів Catalyst, додає
на додаток до полів версії 5 {router_sc}, що є IP-адресою маршрутизатора
заповнює ярлик кешу потоку в Supervisor. Версія 6, яка не є офіційною
підтримується Cisco, додає на додаток до полів версії 5 {in_encaps, out_encaps,
peer_nexthop}, тобто розмір інкапсуляції інтерфейсу введення та виведення та IP-адреса
наступний стрибок у однорангові. Експорт версії 1 не містить порядкового номера та
тому цього слід уникати, хоча безпечно зберігати дані як версію 1, якщо
додаткові поля не використовуються.

Версія 8 IOS NetFlow — це кеш потоку другого рівня, який зменшує дані, експортовані з
маршрутизатор. Наразі існує 11 форматів, усі з яких забезпечують {dFlows, dOctets, dPkts,
По-перше, Last} для ключових полів.

8.1 - AS джерела та призначення, інтерфейс введення та виведення
8.2 - Протокол і порт
8.3 - Префікс джерела та інтерфейс введення
8.4 - Префікс призначення та інтерфейс виведення
8.5 - Префікс джерела/призначення та інтерфейс введення/виведення
8.9 - 8.1 + ToS
8.10 - 8.2 + ToS
8.11 - 8.3 + ToS
8.12 - 8.5 + ToS
8.13 - 8.2 + ToS
8.14 - 8.3 + порти + ToS

Версія 8 CatIOS NetFlow виглядає менш дрібнозернистим кешом потоку першого рівня.

8.6 - IP-адреса призначення, Умови обслуговування, Позначені Умови обслуговування,
8.7 - IP-адреса джерела/призначення, інтерфейс введення/виведення, ToS, Марковані ToS,
8.8 - IP-адреса джерела/призначення, порт джерела/призначення,
Інтерфейс введення/виводу, ToS, Марковані ToS,

Наступні програми включені в дистрибутив flow-tools.

потік-захоплення - Збирайте, стискайте, зберігайте та керуйте дисковим простором для експортованих потоків із a
маршрутизатор

потік-кат - Конкатенація файлів потоку. Зазвичай файли потоку містять невелике вікно з 5
або 15 хвилин експорту. Flow-cat можна використовувати для додавання файлів для створення звітів
які охоплюють більш тривалі періоди часу.

потік-фаунт - Реплікація дейтаграм NetFlow на одноадресні або багатоадресні адреси. потік-
fanout використовується для полегшення роботи кількох колекторів, підключених до одного маршрутизатора.

flow-звіт - Створення звітів для наборів даних NetFlow. Звіти містять джерело/призначення
IP-пари, AS джерело/призначення та головні розмовники. На даний момент є понад 50 звітів
підтримується.

flow-tag - Потоки тегів на основі IP-адреси або AS #. Тег потоку використовується для групування потоків
мережа клієнтів. Пізніше теги можуть використовуватися з потоком-розділом або flow-report для створення
звіти про трафік на основі клієнтів.

проточний фільтр - Фільтрувати потоки на основі будь-якого з полів експорту. Проточний фільтр використовується в лінії
з іншими програмами для створення звітів на основі потоків, що відповідають виразам фільтра.

потік-імпорт - Імпорт даних із формату ASCII або cflowd.

потік-експорт - Експорт даних у формат ASCII або cflowd.

потік-відправка - Надсилайте дані по мережі за допомогою протоколу NetFlow.

потік-отримання - Отримувати експорти за допомогою протоколу NetFlow без збереження на диск
потік-захоплення.

потік-ген - Створення тестових даних.

flow-dscan - Простий інструмент для виявлення деяких типів мережевого сканування та відмови
Сервісні атаки.

потік-злиття — Об’єднання файлів потоку в хронологічному порядку.

flow-xlate - Виконуйте переклади на деяких полях потоку.

течія-закінчення - Термін дії потоків із використанням тієї ж політики захоплення потоку.

заголовок потоку - Відображення мета інформації у файлі потоку.

потік-спліт — Розділіть файли потоку на менші файли за розміром, часом або тегами.

Використовуйте flow-tools онлайн за допомогою служб onworks.net