[[netflow:document]]
足跡: document
顯示原始碼
管理選單最近更新網站地圖

目錄表

NetFlow 流量統計安裝教學

前言

NetFlow 流量統計程式,由 netflow.nctu.edu.tw 取得,並依據 ericlin AT cabin.idv.tw,
所提供的修改,修改成可以使用 FreeBSD port tree 裡的 flow-tools

檔案列表

  1. Show-mrtg.pl, 這是給 mrtg 的程式用的。寫的很潦草,有空再改。
  2. TANet-10min.pl, 這是每 10 分鐘產生一次報表。
  3. TANet-daily.pl, 每日流量報表
  4. TANet-netflow.pl, 子程式檔案
  • (此為簡單版,並用 interface 為判斷依據,若要以 ip 判斷,請自行研究 Alpine-netflow.pl)
  1. TANet-mysql.pl, 將流量資料塞進 MySQL
  2. intranet, 內部網路清單
  3. mrtg.10min.cfg, mrtg 讀 10 分鐘報表的設定檔
  4. protocols, flow 檔產生 tcp udp icmp 的數字
  5. services, 每日報表所要產生的 port 清單
  6. services-10min, 每 10 分鐘所要產生的 port 清單
  7. dnscan 是 Darkkiller 長輩提供的查詢網段反解的程式,好用!
  • PS.請先安裝 p5-Net-Netmask

想使用 MySQL 的人

使用之前請先按照這個網址的修正做修改,因為 port tree 裡的 flow-tools 中 flow-export對 MySQL 有問題 http://www.freebsd.org/cgi/query-pr.cgi?pr=73285 在編譯時請加上 –with-mysql=/usr/local (this is for FreeBSD) 以下是資料表的 table 結構 

CREATE TABLE `Table_Name` (
`srcaddr` VARCHAR(15) NOT NULL DEFAULT ,
`dstaddr` VARCHAR(15) NOT NULL DEFAULT ,
`prot` SMALLINT(2) NOT NULL DEFAULT '0',
`srcport` SMALLINT(6) NOT NULL DEFAULT '0',
`dstport` SMALLINT(6) NOT NULL DEFAULT '0',
`dFlows` SMALLINT(10) NOT NULL DEFAULT '0',
`dPkts` SMALLINT(10) NOT NULL DEFAULT '0',
`dOctets` INT(15) NOT NULL DEFAULT '0'
) TYPE=MyISAM;

使用方式

flow-export -f3 -mDOCTETS,SRCADDR,DSTADDR,SRCPORT,DSTPORT,PROT -u "user:password:localhost:3306:database:table" ft-v05.2004-10-20.001001+0800

如果要把所有欄位通通塞進去… -mDFLOWS,DPKTS,DOCTETS,SRCADDR,DSTADDR,SRCPORT,DSTPORT,PROT (不知道為什麼,只有這順序能跑) 若要上線使用的話請見 TANet-mysql.pl

給擁有 Interface 的使用者(使用高級的 router 或是 cisco 的 router): 你可以直接使用 TANet-netflow.pl 這個檔案,並修改當中 sub chkInOutNetwork 裡邊的 $sif 及 $dif 各分別是 Source Interface & Disternation Interface 相關資訊請查閱您自己的 router

給使用 mirror port 來做 流量統計的人: 請先研究 Alpine-netflow.pl 這個檔案,並修改裡面的內容符合您的需求, 這部分可以剔除 interface 判斷的部分,因為 mirror port 倒出來的 netflow 不會有 interface 所以全部都要使用 IP 來判斷進出。 至於 mirror port 的假設請參考 “fprobe + flow-capture 使用方式

DarkKiller 大大曾經說過幾件作 netflow 一定要注意的事情: 詳情請至 kkcity 的 cszone 裡的 perl 版搜尋,不便直接引用(倒了)

另外,也可以至 telnet://deer.twbbs.org 的 Perl 版上找,或是使用 News Reader 讀取 group.nctu.edu.tw 上的 group.public.darkkiller 會有幫助的。

賴守全老師似乎有寫了一套不正常流量檢測,據說很好用, 不過,我手邊只有最早期的版本,聽說後來有重新開發之類的。

程式下載

http://jal.tw/ftp/netflow

netflow/document.txt · 上一次變更: 2011/12/05 09:39 由 jal
顯示原始碼舊版
多媒體管理器回到頁頂
上一頁 | 下一頁 | 回首頁 | RSS Feed | Facebook
Copyright © 2000 - 2024 jal.tw All Rights Reserved.