Архивы меток:NetFlow

ipt_NETFLOW — быстрый NetFlow сенсор трафика, состоит из модуля ядра и iptables, поддерживает NetFlow v5, v9, v10(IPFIX).

Читать далее «Установка и запуск ipt_NETFLOW»

Nfsen — сборщик и анализатор Netflow с открытым исходным кодом, отображает статистику в веб интерфейсе в виде графиков.

Читать далее «Установка и использование Nfsen»

Nfdump — набор инструментов для сбора и обработки данных netflow.

Читать далее «Установка и использование Nfdump»

Допустим мы установили ntopng как я описывал в этой статье — Установка и настройка ntopng
То есть выбрали необходимый пакет на http://packages.ntop.org/apt-stable/ и скачали его:

wget wget http://apt-stable.ntop.org/16.04/all/apt-ntop-stable.deb
sudo dpkg -i apt-ntop-stable.deb

Установим nprobe если он не установлен:

sudo apt-get clean all
sudo apt-get update
sudo apt-get install nprobe

Чтобы принимать NetFlow данные и передавать их на ntopng создадим файл (в редакторе nano клавиши CTRL+X для выхода, y/x для сохранения или отмены изменений):

sudo nano /etc/nprobe/nprobe-anyname.conf

Добавим в него:

--zmq="tcp://*:5556"
-3 2055
--flow-version 9
-n=none
-i=none

2055 — это порт на который нужно принимать NetFlow данные, а порт 5556 используется для их передачи к ntopng.
Смотрите мои статьи о настройке NetFlow на коммутаторах:
Настройка NetFlow на Cisco
sFlow на D-Link коммутаторах
Traffic Flow в Mikrotik

Теперь осталось открыть конфигурацию ntopng в текстовом редакторе:

sudo nano /etc/ntopng/ntopng.conf

И добавить в конце строку (тем самым добавим интерфейс nprobe для сбора статистики):

--interface="tcp://127.0.0.1:5556"

Осталось перезапустить ntopng чтобы применить изменения:

sudo service ntopng restart

Проверим все ли работает:

sudo netstat -tulpen | grep 2055
sudo netstat -tulpen | grep 5556
sudo /etc/init.d/nprobe status

Заметил что nprobe не всегда завершает работу после команды:

sudo /etc/init.d/nprobe stop

Поэтому, при необходимости его можно остановить например так:

sudo killall nprobe
sudo kill -9 PID

В бесплатной версии nprobe у меня отображалось сообщение:

NOTE: This is a DEMO version limited to 25000 flows export.

Полную версию можно приобрести на официальном сайте shop.ntop.org.

Смотрите также:
IPTables правила для nprobe

Flow-tools — набор утилит для отправки, сбора, обработки, анализа данных NetFlow.

Установим коллектор, который будет принимать статистику с сенсоров:

Читать далее «Установка и использование flow-tools»

Softflowd — анализатор сетевого трафика NetFlow.

Установить в Ubuntu/Debian можно командой:

sudo apt-get install softflowd

После установки необходимо открыть его файл конфигурации, на примере в редакторе nano (Ctrl+X для выхода, y/n для сохранения или отмены изменений):

sudo nano /etc/default/softflowd

И указать параметры, например:

INTERFACE="any"
OPTIONS="-n 192.168.1.40:5556"

После изменений выполним перезапуск:

sudo /etc/init.d/softflowd restart

Посмотрим статистику softflowd:

softflowctl statistics

Если он не запущен, то будет ошибка:

ctl connect(«/var/run/softflowd.ctl») error: Connection refused

Отобразить информацию обо всех отслеживаемых потоках:

sudo softflowctl dump-flows

Информацию о softflowctl можно посмотреть командой:

man softflowctl

Опишу прочие опции запуска:
-n (указание узла сети и порта на котором будет работать softflowd)
-i (интерфейс на котором будет работать softflowd)
-r pcap_file (чтение информации из файла, а не сетевого интерфейса)
-p pidfile (альтернативное местоположение для хранения идентификатора процесса, стандартно /var/run/softflowd.pid)
-c ctlsock (альтернативное местоположение для сокета, стандартно /var/run/softflowd.ctl)
-m max_flows (максимальное количество потоков для одновременного отслеживания)
-6 (учитывать также IPv6 данные)
-D (режим отладки)
-T track_level (уровень отслеживания, может быть full, proto, ip)
-v netflow_version (версия netflow)

trafshow — утилита для отображение статистики трафика проходящего через сетевые интерфейсы.

Так как утилита входит в набор Netdiag (Net-Diagnostics), то устанавливается все вместе.

Установить Netdiag и trafshow в Ubuntu/Debian можно следующей командой:

sudo apt-get install netdiag

В CentOS/RedHat/Fedora:

sudo yum install netdiag

Команда просмотра руководства:

man trafshow

Простой запуск:

sudo trafshow

Опишу возможные опции запуска:
-v (просмотр версии программы)
-n (не конвертировать адреса в DNS имена, и номера портов например 80 в http и т.д., в работающей программе опцию можно переключать клавишей N)
-a len (Суммирование потоков трафика с использованием префикса IP netmask len, в программе переключается клавишей A)
-с conf (использование альтернативной конфигурации цвета вместо стандартного /etc/trafshow)
-i name (указание сетевого интерфейса)
-s str (поиск элемента в списке и переход к нему)
-u port (прослушивание указанного UDP порта для Cisco Netflow, по умолчанию используется номер 9995, для отключение используйте 0)
-R refresh (интервал обновления, по умолчанию 2 секуны, в программе изменяется клавишей R)
-P purge (очистка устаревших записей после указанного времени, по умолчанию 10 секунд, в программе меняется клавишей P)
-F file (использование файла для фильтров)
expr (какие пакеты будут отображаться, если не задано, то все)