====== NetFlow 流量統計安裝教學 ======

===== 前言 =====
  NetFlow 流量統計程式，由 netflow.nctu.edu.tw 取得，並依據 ericlin AT cabin.idv.tw,
  所提供的修改，修改成可以使用 FreeBSD port tree 裡的 flow-tools


===== 檔案列表 =====
  - Show-mrtg.pl, 這是給 mrtg 的程式用的。寫的很潦草，有空再改。
  - TANet-10min.pl, 這是每 10 分鐘產生一次報表。
  - TANet-daily.pl, 每日流量報表
  - TANet-netflow.pl, 子程式檔案
  * (此為簡單版，並用 interface 為判斷依據，若要以 ip 判斷，請自行研究 Alpine-netflow.pl)
  - TANet-mysql.pl, 將流量資料塞進 MySQL
  - intranet, 內部網路清單
  - mrtg.10min.cfg, mrtg 讀 10 分鐘報表的設定檔
  - protocols, flow 檔產生 tcp udp icmp 的數字
  - services, 每日報表所要產生的 port 清單
  - services-10min, 每 10 分鐘所要產生的 port 清單
  - dnscan 是 Darkkiller 長輩提供的查詢網段反解的程式，好用！
  * PS.請先安裝 p5-Net-Netmask

===== 想使用 MySQL 的人 =====
使用之前請先按照這個網址的修正做修改，因為 port tree 裡的 flow-tools 中 flow-export對 MySQL 有問題
http://www.freebsd.org/cgi/query-pr.cgi?pr=73285
在編譯時請加上 --with-mysql=/usr/local (this is for FreeBSD)
以下是資料表的 table 結構
<code sql>
CREATE TABLE `Table_Name` (
`srcaddr` varchar(15) NOT NULL default ,
`dstaddr` varchar(15) NOT NULL default ,
`prot` smallint(2) NOT NULL default '0',
`srcport` smallint(6) NOT NULL default '0',
`dstport` smallint(6) NOT NULL default '0',
`dFlows` smallint(10) NOT NULL default '0',
`dPkts` smallint(10) NOT NULL default '0',
`dOctets` int(15) NOT NULL default '0'
) TYPE=MyISAM;
</code>

==== 使用方式 ====
<code bash>
flow-export -f3 -mDOCTETS,SRCADDR,DSTADDR,SRCPORT,DSTPORT,PROT -u "user:password:localhost:3306:database:table" ft-v05.2004-10-20.001001+0800
</code>

如果要把所有欄位通通塞進去...
-mDFLOWS,DPKTS,DOCTETS,SRCADDR,DSTADDR,SRCPORT,DSTPORT,PROT
(不知道為什麼，只有這順序能跑)
若要上線使用的話請見 TANet-mysql.pl


給擁有 Interface 的使用者(使用高級的 router 或是 cisco 的 router)：
你可以直接使用 TANet-netflow.pl 這個檔案，並修改當中 sub chkInOutNetwork 裡邊的
$sif 及 $dif 各分別是 Source Interface & Disternation Interface
相關資訊請查閱您自己的 router

給使用 mirror port 來做 流量統計的人：
請先研究 Alpine-netflow.pl 這個檔案，並修改裡面的內容符合您的需求，
這部分可以剔除 interface 判斷的部分，因為 mirror port 倒出來的 netflow 不會有 interface
所以全部都要使用 IP 來判斷進出。
至於 mirror port 的假設請參考 "[[netflow:fprobe|fprobe + flow-capture 使用方式]]"

DarkKiller 大大曾經說過幾件作 netflow 一定要注意的事情：
詳情請至<del> kkcity 的 cszone 裡的 perl 版搜尋，不便直接引用</del>(倒了)

另外，也可以至 [[telnet://deer.twbbs.org|telnet://deer.twbbs.org]] 的 Perl 版上找，或是使用 News Reader 讀取 group.nctu.edu.tw 上的 group.public.darkkiller 會有幫助的。

賴守全老師似乎有寫了一套不正常流量檢測，據說很好用，
不過，我手邊只有最早期的版本，聽說後來有重新開發之類的。

===== 程式下載 =====
http://jal.tw/ftp/netflow \\