这是命令流工具示例,可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
流程工具示例 — 流工具的使用示例。
例 - 配置 思科 IOS 路由器
每个输入接口上都配置了NetFlow,然后使用全局命令来指定
出口目的地。 为了确保一致的源地址地址 Loopback0 是
配置为导出源。
ip cef 分布式
ip flow-export 版本 5 origin-as
ip 流出口目的地 10.0.0.100 5004
ip 流导出源 Loopback0
接口 Loopback0
IP地址10.1.1.1 255.255.255.255
接口 FastEthernet0/1/0
IP地址10.0.0.1 255.255.255.0
无 ip 定向广播
ip 路由缓存流
ip 路由缓存分布式
存在许多其他选项,例如聚合 NetFlow 和采样 NetFlow,详细说明
at (链接 至 网址 http://www.cisco.com) .
例 - 配置 思科 CATIOS Switch 开关
某些 Cisco Catalyst 交换机支持不同的 NetFlow 实施,即
对主管执行。 使用基于缓存的转发模型实现
在带有路由交换模块 (RSM) 和 NetFlow 功能卡 (NFFC) 的 Catalyst 55xx 中,
RSM 处理第一个流,流中剩余的数据包由 RSM 转发
导师。 这也在带有 MSFC 的 65xx 的早期版本中实现。 这
带有 MSFC65 的 2xx 中使用的确定性转发模型不使用 NetFlow 来确定
转发路径,流缓存仅用于当前IOS中的统计
实现。 在上述所有配置中,流量出口都来自
RSM/MSFC 和 Supervisor 引擎作为不同的流。 在最糟糕的演员阵容中 RSM
版本 5 中的导出和版本 7 中的 Supervisor 导出。 幸运的是流量捕获
和 flow-receive 可以通过处理来自两个源和
将它们转换为通用的导出格式。
运行 IOS 的路由器端的配置与上面给出的示例相同。 这
CatIOS NetFlow 数据导出配置如下:
设置 mls 流量已满
设置 mls nde 版本 7
设置 mls nde 10.0.0.1 9800
设置 mls nde 启用
当 65xx 在 Native 模式下运行时,从用户的角度来看,交换机只是
运行IOS。
更详细的示例可以在 Cisco 的网站上找到
(链接 至 网址 http://www.cisco.com) .
例 - 配置 瞻博 路由器
瞻博网络支持通过路由引擎采样数据包头和
将它们聚合为流。 数据包采样是通过定义防火墙过滤器来完成的
接受并采样所有流量,将该规则应用于接口,然后配置
采样转发选项。
接口{
ge-0/3/0 {
单元 0 {
家庭网络{
筛选 {
全部输入;
输出全部;
}
地址 10.0.0.1/24;
}
}
}
防火墙{
过滤所有{
术语所有{
然后 {
样本;
接受;
}
}
}
}
转发选项{
抽样{
输入 {
家庭网络{
率 100;
}
}
输出 {
cflowd 10.0.0.100 {
9800端口;
第 5 版;
}
}
}
}
存在其他选项,例如汇总流量,详情请参见 (链接 至 网址
http://www.juniper.net) .
例 - 网络 拓扑 和 流.acl
网络拓扑和 flow.acl 将用于后面的许多示例。
流被收集并存储在 /流量/R.
ISP-A ISP-B
+ +
+ +
IP=10.1.2.1/24 + + IP=10.1.1.1/24
如果索引=2 + + 如果索引=1
接口=serial1/1 + + 接口=serial0/0
-----
| R | 校园路由器
-----
+ +
IP=10.1.4.1/24 + + IP=10.1.3.1/24
如果索引=4 + + 如果索引=3
接口=Ethernet1/1 + + 接口=Ethernet0/0
+ +
销售与市场营销
ip access-list 标准销售许可证 10.1.4.0 0.0.0.255
ip 访问列表标准 not_sales 拒绝 10.1.4.0 0.0.0.255
ip access-list 标准营销许可 10.1.3.0 0.0.0.255
ip 访问列表标准 not_marketing 拒绝 10.1.3.0 0.0.0.255
ip 访问列表标准校园许可证 10.1.4.0 0.0.0.255
ip 访问列表标准校园许可证 10.1.3.0 0.0.0.255
ip 访问列表标准 not_campus 拒绝 10.1.4.0 0.0.0.255
ip 访问列表标准 not_campus 拒绝 10.1.3.0 0.0.0.255
ip 访问列表标准 evil_hacket 许可主机 10.6.6.6
ip 访问列表标准欺骗者许可主机 10.9.9.9
ip 访问列表标准组播 224.0.0.0 15.255.255.255
例 - 查找 被欺骗的 地址
Internet 上的一个常见问题是使用“欺骗”(未分配的地址)
组织)用于 DoS 攻击或破坏依赖源的服务器
用于身份验证的 IP 地址。
显示所有源自校园并发送到互联网的流记录,但
未使用合法地址。
流猫 /流量/R | 流过滤器 -Snot_campus -I1,2 | 流印
按八位字节排序的内部欺骗地址的目的地摘要。
流猫 /流量/R | 流过滤器 -Snot_campus -I1,2 | 流状态 -f8 -S2
按流排序的内部欺骗地址的来源摘要。
流猫 /流量/R | 流过滤器 -Snot_campus -I1,2 | 流状态 -f9 -S1
按数据包排序的内部欺骗源和目标对的摘要。
流猫 /流量/R | 流过滤器 -Snot_campus -I1,2 | 流状态 -f10 -S4
显示所有源自具有校园地址的校园外部的流记录。
很多时候,这些可能是攻击者试图利用基于主机的身份验证机制
像 unix r* 命令。 另一个常见的来源是移动客户端,它发送数据包
在获得有效 IP 之前,他们的校园地址。
流猫 /流量/R | 流过滤器 -斯卡普斯 -i1,2 | 流印
按八位字节排序的外部欺骗地址的目的地摘要。
流猫 /流量/R | 流过滤器 -斯卡普斯 -i1,2 | 流状态 -f8 -S2
例 - 定位 为了 运用 or 运行 服务
查找收集期间所有已建立的活动 SMTP 服务器
到 Internet 的连接。 汇总按八位字节排序。
流猫 /流量/R | 流过滤器 -I1,2 - P25 | 流状态 -f9 -S2
查找到 Internet 的所有出站 NNTP 连接。 总结源和目标
IP 按八位字节排序。
流猫 /流量/R | 流过滤器 -I1,2 - P119 | 流状态 -f10 -S3
查找到 Internet 的所有入站 NNTP 连接。 总结源和目标
IP 按八位字节排序。
流猫 /流量/R | 流过滤器 -i1,2 - P119 | 流状态 -f10 -S3
例 - 多播 用法
总结源在校园内的组播 S、G。
流猫 /流量/R | 流过滤器 -D多播 -I1,2 | 流状态 -f10 -S3
总结源在校园外的组播 S、G。
流猫 /流量/R | 流过滤器 -D多播 -i1,2 | 流状态 -f10 -S3
例 - 找到最适合您的地方 扫描仪
使用 flow-dscan 查找 SMTP 扫描程序。 这还将找到尝试联系的 SMTP 客户端
许多服务器。 这种行为的特点是最近的 Microsoft 蠕虫。
触摸 dscan.suppress.src 文件 dscan.suppress.dst 文件
流猫 /流量/R | 流过滤器 - P25 | 流扫描 -b
使用 onworks.net 服务在线使用 flow-tools-examples