《Netflow建置与应用.ppt》由会员分享,可在线阅读,更多相关《Netflow建置与应用.ppt(20页珍藏版)》请在三一办公上搜索。
1、Netflow 建置與應用,林嘉軒,簡介,前面會講 Netflow 的概念運作方式用途後面會提到 Netflow 實做的部分在 UNIX 上面安裝相關軟體撰寫相關程式分析數據,什麼是 Netflow?,紀錄流過封包的摘要,通常包括了:Protocol 種類(ICMP/TCP/UDP/)Port 號碼(TCP/UDP/)封包數目封包大小一開始是在 Cisco Router 上所提供幾乎是工業標準,Netflow 的用途?,統計流量流量監控、流量分析、使用生態分析詳細的連線記錄連線記錄可以作為證據,Netflow 運作方式(1),Netflow Router,PC(統計用的主機),Packet S
2、ummary,內部網路,上游,有 Netflow 功能 Router 的作法,Netflow 運作方式(2),內部網路,有 Port Mirror 功能的 Switch,沒有 Netflow 功能的 Router,上游,PC(統計用的主機),沒有 Netflow 功能 Router 的作法,Packet(NOT SUMMARY!),Netflow 的硬體需求,製造 flow 的工具Cisco 7 series router,或是NTOP 以及一顆有 Port Mirror 功能的 Switch計算 flow 的工具一台 PCCPU 隨意,記憶體要大,最好有 512MB硬碟要大,看需要選擇用 I
3、DE 或 RAID5,Netflow 的軟體需求,OS:FreeBSD 或是 Linux 都可以產生 flow 的軟體:flow-toolsNetflowExporterNTOP統計軟體:視需求自己撰寫或是修改程式,硬體的設定,在 Cisco Router 上設定:ip flow-export ip flow-export 192.168.1.1 56789,軟體的安裝(flow-tools),flow-tools 可以在下面這個網址抓到:在 FreeBSD 上有 ports 可以安裝/usr/ports/net/flow-toolsmake all install clean,軟體的設定(f
4、low-tools),flow-capture 接收 Router 丟過來的 Dataflow-capture-e 1440-N 0-n 143-z 6-w-e 1440 表示保留 1440 個檔案(十天)-N 0 請參考 man flow-capture 的說明-n 143 表示每天有 144 個檔案,也就是設定為十分鐘一個檔案。-z 6 表示壓縮率,通常 6 就夠用-w 表示要把檔案放到那個路徑,無 Netflow 功能時使用的軟體,中央大學劉劍青先生寫的 NetflowExporterNTOP(原始站台)/usr/ports/net/ntop(FreeBSD Ports),軟體的使用-f
5、low-print,flow-print 負責將存起來的 Rawdata 顯示出來flow-cat/|flow-print-f3|less-f3 為顯示的格式,請參考 man flow-print 裡面的說明less 是分頁用的工具,軟體的使用-flow-print(範例),srcIP dstIP prot srcPort dstPort octets packets140.113.146.74 202.216.248.253 6 1338 84 40 1140.113.146.143 202.216.248.253 6 1604 85 40 1140.113.146.38 202.216.2
6、48.253 6 1685 86 40 1140.113.146.238 202.216.248.253 6 1325 87 40 1140.113.146.252 202.216.248.253 6 1901 88 40 1163.28.48.71 140.113.20.47 6 4379 80 44 1140.113.146.66 202.216.248.253 6 1729 89 40 1163.19.53.133 198.104.180.99 17 1029 137 78 1140.113.146.164 202.216.248.253 6 1311 90 40 1140.113.14
7、6.80 202.216.248.253 6 1109 91 40 1140.113.20.47 163.28.48.71 6 80 4379 40 1140.113.146.143 202.216.248.253 6 1952 92 40 166.79.10.211 163.28.64.112 6 80 3227 281 4,軟體的使用-ACL,ACL 可以設定要過濾哪些 flow但是只包括 IP,不包括 Portflow.acl(或者隨便取):ip access-list standard nctu deny 140.113.96.0 0.0.3.255(新竹中學的範圍)ip access
8、-list standard nctu,軟體的使用-flow-filter,透過 ACL 過濾(filter)flowflow-cat/|flow-filter-p 53-S nctu-f flow.acl|flow-print-f3|less-p 53 是規定 source port 是 53-S 是 source ip 符合 nctu 的規定-f 是 ACL 的檔案位置,軟體的使用-flow-filter(範例),srcIP dstIP prot srcPort dstPort octets packets140.113.1.1 163.28.64.11 17 53 41633 77 11
9、40.113.1.1 163.28.64.11 17 53 41634 123 1140.113.1.1 163.28.64.11 17 53 41635 85 1140.113.1.1 163.28.64.11 17 53 41636 135 1140.113.1.1 163.28.64.11 17 53 41637 128 1140.113.1.1 163.28.64.11 17 53 41638 125 1140.113.1.1 163.28.64.11 17 53 41639 83 1140.113.20.1 61.222.153.82 17 53 2767 138 1140.113.1.1 163.28.64.11 17 53 41640 108 1140.113.1.1 163.28.64.11 17 53 41641 120 1,流量統計(1),以 flow-print 顯示出來的訊息計算以 Perl 撰寫以 MySQL 儲存每天的統計資料以 PHP 作為介面查閱資料,流量統計(2),結語,有問題請發問,
