Netflow panaudojimas


3. Flows peržiūros ir kaupimo įrankiai

Sukauptą Netflow
informaciją sudėtinga analizuoti pagal pavienius įrašus,
todėl peržiūrai ir analizei naudojami specializuoti
įrankiai. Jie apdoroja naudotojų užklausas, bendrauja su
kolektoriumi ir grąžina reikiamus rezultatus naudotojui.
Tai leidžia atvaizduoti duomenis ir efektyviai juos
analizuoti.

Renkantis įrankį reikia
atsižvelgti į procesoriaus ir disko vietos reikalavimus.
Pasirinkus nemokamą įrankį derėtų atkreipti dėmesį į
instaliavimo ir konfigūravimo sudėtingumą bei galimas
veikimo problemas.

Pateikiame nemokamų įrankių, skirtų darbui
su flows, sąrašą:

flow-tools (https://github.com/adsr/flow-tools)

flow_tools

flow-tools yra programų
ir bibliotekų rinkinys, naudojamas surinkti, apdoroti
netflow duomenis ir generuoti ataskaitas. Šie
įrankiai gali būti naudojami kartu viename serveryje arba
išskirstyti po daugelį serverių. flow-tools
biblioteka suteikia programavimo sąsają individualių
poreikių programinės įrangos kūrimui. Veikia
GNU/Linux ir Unix platformose.

Flow Loader And Virtual Information Output
(FLAVIO) (
http://flavio.sourceforge.net/)

flavio

FLAVIO atvaizduoja
NetFlow duomenis grafiškai. Ši priemonė surenka
NetFlow duomenis iš įrenginio, sudeda duomenis į
MySQL duomenų bazę ir generuoja dienos, savaitės,
mėnesio ir metų diagramas. FLAVIO gali rodyti
bendrą tinklo panaudojimo statistiką, interneto srautą,
padalintą pagal prievadus bei generuoti informaciją,
skirtą apmokestinimui už sunaudotą srautą. Veikia
GNU/Linux ir Unix platformose.

flowd (http://www.mindrot.org/projects/flowd/)

flowd yra mažai resursų
naudojantis, greitas ir saugus NetFlow surinkimo
įrankis. flowd servisas tik renka
NetFlow paketus ir talpina juos į diską standartiniu
formatu. flowd nepalaiko daugelio flows
talpinimo formatų ir negali atlikti sukauptų duomenų
analizės. Šioms funkcijoms naudojami kiti išoriniai
įrankiai. Veikia GNU/Linux ir OpenBSD
platformose.

ManageEngine NetFlow Analyzer
(
http://www.manageengine.com/products/netflow/)

netflow-analizer

NetFlow
Analyzer – internetinio puslapio pagrindu
veikiantis pralaidumo stebėjimo įrankis, kuris surenka iš
maršrutizavimo įrenginių eksportuotus duomenis ir
panaudoja juos analizuoti tinklo srautą bei nustatyti
pralaidumo sunaudojimą visame tinkle. Tinklo pralaidumą
galima stebėti realiu laiku. Veikia Windows
2000/XP ir Linux platformose.

NDSAD (http://sourceforge.net/projects/ndsad/)

NDSAD priemonė surenka IP
srautą iš tinklo prievado ir eksportuoja kaip 5-osios
versijos flows. Duomenys surenkami naudojant
libpcap biblioteką Unix sistemose ir
winpcap Windows sistemose. Veikia
Windows 2000/XP, Linux,
Unix platformose.

NetFlow Monitor (http://netflow.cesnet.cz/index.php)

netflow-monitor

NetFlow
Monitor yra įrankis, skirtas Cisco
maršruto parinktuvų NetFlow duomenų
apdorojimui ir analizei. NetFlow Monitor
suteikia galimybę stebėti tinklo srautą beveik realiu
laiku, greitai filtruoti flows, agreguoti bei
statistiškai įvertinti duomenis pagal daugelį kriterijų –
siuntėjo/gavėjo IP adresus, protokolus ir t.t. Veikia
GNU/Linux ir Unix platformose.

nfdump (http://nfdump.sourceforge.net/)

nfdump

Nfdump – įrankių
rinkinys, skirtas netflow duomenų rinkimui ir
apdorojimui . Šis įrankis yra greitas ir turi lanksčią
filtravimo sintaksę. Nfdump palaiko 5-ąją, 7-ąją
ir 9-ąją Netflow versiją bei IPv6. Veikia
GNU/Linux ir Unix platformose.

NfSen (http://nfsen.sourceforge.net/)

nfsen

NfSen yra internetinio
puslapio pagrindu veikianti grafinė Nfdump aplinka.
Veikia GNU/Linux ir Unix platformose.

Nfsen savybės ir
privalumai:

  1. Atvaizduojami Netflow duomenys:
    flows, paketai ir baitai.

  2. Lengva orientuotis tarp flows.

  3. Galima apdoroti tam tikro laiko intervalo
    flows.

  4. Galima rinkti tebesitęsiančio profilio
    duomenis.

  5. Galimybė nustatyti pavojaus signalus tam
    tikromis sąlygomis.

  6. Įskiepių, skirtų reguliarių intervalų
    duomenų apdorojimui, palaikymas.

nfsen2Nfsen flows peržiūros
įrankyje flows surenkami pagal surašomas sąlygas,
kurios jugiamos žodeliu and ir sudaro filtrą.
Sąlygų pavyzdžiai:

proto protocol,
kai protocol – bet kuris protokolas, pav.: TCP, UDP,
ICMP, GRE, ESP, AH, RSVP…;

proto num, kai
num
protokolo numeris ;

SourceDestination IP
ipaddr, kai SourceDestination priklausomai
nuo to ar adresas/ai yra siuntėjo ar gavėjo rašomi
SRC arba DST, o ipaddr
bet kuris veikiantis IPv4 arba IPv6 adresas;

SourceDestination IP
IN [iplist], kai IN apibrėžia
pasirenkamą prievadą ir gali būti IN arba OUT, o
[iplist] sąrašas IP adresų, atskirtų tarpais.
Laužtiniai skliausteliai būtini;

SourceDestination PORT
comp num, kai num – prievado
numeris, o comp yra palyginimo ženklai: =, ==, >, <,
EQ, LT, GT. Jeigu ženklas praleidžiama, pagal numatymą tai
=;

SourceDestination PORT
IN [portlist], kai
[portlist]- sąrašas prievadų numerių,
atskirtų tarpais. Laužtiniai skliausteliai būtini;

Inout IF
num, kai įeinati sąsaja – IN, o išeinanti –
OUT, num sąsajos numeris;

Flags
tcpflags, kai tcpflags yra žymių
kombinacija, susidedanti iš: A (ACK), S (SYN), F (FIN), R
(Reset), P (Push), U (Urgent), X – visos žymės yra
įjungtos. Atrankai surašomų vėliavėlių tvarka yra
nesvarbi. Pavyzdžiui norint išgauti tik rezultatus pagal
SYN žymę, reikia suvesti „flags S and not flags AFRPU“;

tos value, kai
value yra paslaugos vertė 0…255. ToS Baitas (The
Type of Service Byte) – identifikuoja paslaugos klasę arba
srauto prioritetą;

packets comp
num, kai num paketų skaičius netflow
įraše;

bytes comp
num, kai num yra baitų skaičius
netflow įraše;

pps comp
num scale, kai pps reiškia paketų per sekundę (pps)
skaičius flowse, o scale gali būti k (kilo), m (mega), g
(giga), t (terra). Pastaba: tarp num ir scale nedėti tarpo
ženklo;

duration comp
num, kai num
flows trukmė milisekundėmis (ms);

bps comp
num scale, kai num – bitų per sekundę (bps)
skaičius flows;

bpp comp
num baitų pakete (bpp)
skaičius flows;

SourceDestination AS num,
kai num autonominės sistemos (AS)
numeris.

Tolimesnius Netflow
pavyzdžius pateiksime naudojantis būtent Nfsen
sistema.

Taip pat yra ir daugiau čia nepaminėtų
įrankių.