Đây là công cụ dòng lệnh có thể chạy trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks bằng cách sử dụng một trong nhiều máy trạm trực tuyến miễn phí của chúng tôi như Ubuntu Online, Fedora Online, trình giả lập trực tuyến Windows hoặc trình giả lập trực tuyến MAC OS
CHƯƠNG TRÌNH:
TÊN
công cụ dòng chảy - Bộ công cụ để làm việc với dữ liệu NetFlow.
MÔ TẢ
Flow-tools là thư viện và một tập hợp các chương trình được sử dụng để thu thập, gửi, xử lý và
tạo báo cáo từ dữ liệu NetFlow. Các công cụ có thể được sử dụng cùng nhau trên một máy chủ duy nhất hoặc
được phân phối đến nhiều máy chủ để triển khai lớn. Thư viện flow-toools cung cấp
một API để phát triển các ứng dụng tùy chỉnh cho các phiên bản xuất NetFlow 1,5,6 và 14
các cuộc lật đổ phiên bản 8 hiện được xác định. Giao diện Perl và Python đã được
đã đóng góp và được đưa vào bản phân phối.
Dữ liệu luồng được thu thập và lưu trữ theo mặc định theo thứ tự byte máy chủ, nhưng các tệp
di động qua các kiến trúc cuối lớn và nhỏ.
Các lệnh sử dụng mạng sử dụng ký hiệu localip / remoteip / port cho
liên lạc. "localip" là địa chỉ IP mà máy chủ lưu trữ sẽ sử dụng làm nguồn để gửi hoặc
ràng buộc khi nhận được NetFlow PDU's (tức là địa chỉ đích của nhà xuất khẩu.
Việc đặt cấu hình "localip" thành 0 sẽ buộc hạt nhân quyết định địa chỉ IP nào được sử dụng cho
gửi và lắng nghe trên tất cả các địa chỉ IP nhận. "remoteip" là IP đích
địa chỉ được sử dụng để gửi hoặc địa chỉ mong đợi của nguồn khi nhận. Nếu
"remoteip" là 0 thì ứng dụng sẽ chấp nhận các luồng từ bất kỳ địa chỉ nguồn nào. Các
"port" là số cổng UDP được sử dụng để gửi hoặc nhận. Khi sử dụng multicast
địa chỉ localip / remoteip / port được sử dụng để đại diện cho nguồn, nhóm và cổng
tương ứng.
Các luồng được xuất từ một bộ định tuyến ở một số phiên bản có thể cấu hình khác nhau. Một dòng chảy
là tập hợp các trường chính và dữ liệu bổ sung. Khóa luồng là {srcaddr, dstaddr,
đầu vào, đầu ra, srcport, dstport, prot, ToS}. Flow-tools hỗ trợ một phiên bản xuất cho mỗi
tập tin.
Các phiên bản xuất 1, 5, 6 và 7 đều duy trì {nexthop, dPkts, dOctets, First, Last, flags},
tức là địa chỉ IP bước tiếp theo, số gói, số octet (byte), thời gian bắt đầu, kết thúc
thời gian và các cờ chẳng hạn như các bit tiêu đề TCP. Phiên bản 5 thêm các trường bổ sung
{src_as, dst_as, src_mask, dst_mask}, tức là AS nguồn, AS đích, mặt nạ mạng nguồn,
và mặt nạ mạng đích. Phiên bản 7 dành riêng cho các thiết bị chuyển mạch Catalyst bổ sung
ngoài các trường phiên bản 5 {router_sc}, là địa chỉ IP của Bộ định tuyến,
điền lối tắt bộ nhớ cache luồng trong Trình giám sát. Phiên bản 6 không phải là chính thức
được hỗ trợ bởi Cisco bổ sung thêm vào các trường phiên bản 5 {in_encaps, out_encaps,
peer_nexthop}, tức là kích thước đóng gói giao diện đầu vào và đầu ra và địa chỉ IP của
bước tiếp theo trong vòng đồng đẳng. Các bản xuất phiên bản 1 không chứa số thứ tự và
do đó nên tránh, mặc dù có thể an toàn để lưu trữ dữ liệu dưới dạng phiên bản 1 nếu
các trường bổ sung không được sử dụng.
Phiên bản 8 IOS NetFlow là bộ đệm lưu lượng cấp thứ hai giúp giảm dữ liệu được xuất từ
bộ định tuyến. Hiện có 11 định dạng, tất cả đều cung cấp {dFlows, dOctets, dPkts,
Đầu tiên, Cuối cùng} cho các trường chính.
8.1 - Nguồn và đích AS, giao diện Đầu vào và Đầu ra
8.2 - Giao thức và Cổng
8.3 - Tiền tố nguồn và giao diện đầu vào
8.4 - Tiền tố đích và giao diện đầu ra
8.5 - Tiền tố Nguồn / Đích và giao diện Đầu vào / Đầu ra
8.9 - 8.1 + ToS
8.10 - 8.2 + ToS
8.11 - 8.3 + ToS
8.12 - 8.5 + ToS
8.13 - 8.2 + ToS
8.14 - 8.3 + cổng + ToS
Phiên bản 8 CatIOS NetFlow dường như là một bộ đệm lưu lượng cấp độ đầu tiên ít chi tiết hơn.
8.6 - IP đích, ToS, ToS được đánh dấu,
8.7 - IP nguồn / đích, giao diện đầu vào / đầu ra, ToS, ToS được đánh dấu,
8.8 - IP Nguồn / Đích, Cổng Nguồn / Đích,
Giao diện đầu vào / đầu ra, ToS, ToS được đánh dấu,
Các chương trình sau được bao gồm trong phân phối công cụ luồng.
nắm bắt dòng chảy - Thu thập, nén, lưu trữ và quản lý không gian đĩa cho các luồng đã xuất từ một
router.
mèo chảy nước - Nối các tệp luồng. Thông thường, các tệp luồng sẽ chứa một cửa sổ nhỏ 5
hoặc 15 phút xuất. Flow-cat có thể được sử dụng để nối các tệp để tạo báo cáo
kéo dài khoảng thời gian dài hơn.
dòng chảy - Sao chép các biểu đồ dữ liệu NetFlow đến các điểm đến unicast hoặc multicast. Chảy-
fanout được sử dụng để tạo điều kiện cho nhiều bộ thu được gắn vào một bộ định tuyến duy nhất.
báo cáo luồng - Tạo báo cáo cho các tập dữ liệu NetFlow. Các báo cáo bao gồm nguồn / đích
Các cặp IP, AS nguồn / đích và những người nói chuyện hàng đầu. Hơn 50 báo cáo hiện đang
được hỗ trợ.
dòng chảy thẻ - Dòng thẻ dựa trên địa chỉ IP hoặc AS #. Thẻ lưu lượng được sử dụng để nhóm các luồng theo
mạng lưới khách hàng. Sau đó, các thẻ có thể được sử dụng với flow-fanout hoặc flow-report để tạo
báo cáo lưu lượng dựa trên khách hàng.
bộ lọc dòng chảy - Lọc luồng dựa trên bất kỳ trường xuất nào. Bộ lọc dòng chảy được sử dụng trong dòng
với các chương trình khác để tạo báo cáo dựa trên các luồng phù hợp với biểu thức bộ lọc.
luồng-nhập - Nhập dữ liệu từ định dạng ASCII hoặc cflowd.
luồng-xuất - Xuất dữ liệu sang định dạng ASCII hoặc cflowd.
luồng-gửi - Gửi dữ liệu qua mạng bằng giao thức NetFlow.
nhận dòng - Nhận xuất khẩu bằng giao thức NetFlow mà không cần lưu trữ vào đĩa như
chụp dòng chảy.
dòng chảy - Tạo dữ liệu thử nghiệm.
lưu lượng-dscan - Công cụ đơn giản để phát hiện một số kiểu quét mạng và Từ chối
Các cuộc tấn công dịch vụ.
hợp nhất dòng chảy - Hợp nhất các tệp luồng theo thứ tự thời gian.
dòng chảy-xlate - Thực hiện các phép dịch trên một số trường luồng.
hết hạn - Hết hạn các luồng bằng cách sử dụng cùng một chính sách nắm bắt luồng.
tiêu đề dòng chảy - Hiển thị thông tin meta trong tệp luồng.
tách dòng - Chia các tệp luồng thành các tệp nhỏ hơn dựa trên kích thước, thời gian hoặc thẻ.
Sử dụng công cụ luồng trực tuyến bằng các dịch vụ onworks.net
