亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

Chinaunix

標(biāo)題: [原創(chuàng)]Netflow(FreeBSD) [打印本頁(yè)]

作者: eliumao 時(shí)間: 2005-12-13 09:46
標(biāo)題: [原創(chuàng)]Netflow(FreeBSD)
Netflow提供網(wǎng)絡(luò)流量的會(huì)話(huà)級(jí)視圖，記錄下每個(gè)TCP/IP事務(wù)的信息。也許它不能象tcpdump那樣提供網(wǎng)絡(luò)流量的完整記錄，但是當(dāng)匯集起來(lái)是，它更加易于管理和易讀。Netflow由Cisco創(chuàng)造。

這篇文章主要參考http://www.onlamp.com/lpt/a/6137和http://www.onlamp.com/lpt/a/6177這兩篇文章，由于自行加入了ng_netflow和修改了部分程序，勉強(qiáng)算做原創(chuàng)吧

Netflow

Netflow提供網(wǎng)絡(luò)流量的會(huì)話(huà)級(jí)視圖，記錄下每個(gè)TCP/IP事務(wù)的信息。也許它不能象tcpdump那樣提供網(wǎng)絡(luò)流量的完整記錄，但是當(dāng)匯集起來(lái)是，它更加易于管理和易讀。Netflow由Cisco創(chuàng)造。

Netflow結(jié)構(gòu)

一個(gè)Netflow系統(tǒng)包括三個(gè)主要部分：探測(cè)器，采集器，報(bào)告系統(tǒng)。探測(cè)器是用來(lái)監(jiān)聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)的。采集器是用來(lái)收集探測(cè)器傳來(lái)的數(shù)據(jù)的。報(bào)告系統(tǒng)是用來(lái)從采集器收集到的數(shù)據(jù)產(chǎn)生易讀的報(bào)告的。

探測(cè)器設(shè)置

探測(cè)器有很多種，常用的如softflowd，freebsd自帶的ng_netflow。

（1）softflowd

a.安裝

#/usr/ports/net-mgmt/softflowd/make install clean

b.運(yùn)行

#softflowd -i 監(jiān)聽(tīng)網(wǎng)卡 -n 采集器IP:端口

c。監(jiān)控程序

#softflowctl statistics 查看狀態(tài)，還有很多參數(shù)，自己看man

（2）ng_netflow

a.配置

1./boot/loader.conf

ng_ether_load="YES"

ng_one2many_load="YES"

2.ng配置文件/etc/ng_conf

mkpeer 監(jiān)聽(tīng)網(wǎng)卡: netflow lower iface0

name 監(jiān)聽(tīng)網(wǎng)卡:lower netflow

connect 監(jiān)聽(tīng)網(wǎng)卡: netflow: upper out0

mkpeer netflow: ksocket export inet/dgram/udp

msg netflow:export connect inet/采集器IP:端口

b.運(yùn)行

#/usr/sbin/ngctl -f /etc/ng_conf

如果需要自動(dòng)運(yùn)行，需要在/usr/local/etc/rc.d/目錄下加入相應(yīng)的啟動(dòng)腳本

采集器設(shè)置

（1）安裝flow-tools

#/usr/ports/net-mgmt/flow-tools/make install clean

（2）運(yùn)行

#/usr/local/bin/flow-capture -p /var/run/flow-capture.pid -n 287 -N 0 -w /var/log/netflows/ -S 5 本地監(jiān)聽(tīng)I(yíng)P/遠(yuǎn)端IP/監(jiān)聽(tīng)端口

其中，/var/log/netflows/目錄為日志目錄，需要手動(dòng)創(chuàng)建；本地監(jiān)聽(tīng)I(yíng)P為0,則在所有IP監(jiān)聽(tīng)；遠(yuǎn)端IP為0,接受任意探測(cè)器的數(shù)據(jù)；其它可以不用更改。

一旦啟動(dòng)flow-capture，日志目錄下就會(huì)出現(xiàn)日志文件。例如tmp-v05.2005-12-12.174000+0800，表示臨時(shí)的，Netflow版本5的數(shù)據(jù)，采集開(kāi)始時(shí)間是2005-12-12,17：40：00,距離GMT（標(biāo)準(zhǔn)時(shí)間）+8小時(shí)。每隔5分鐘，flow-capture就會(huì)把臨時(shí)文件移動(dòng)到永久位置，并開(kāi)始記錄新的臨時(shí)文件。永久文件就是把tmp替換成ft，文件名的其它部分一樣，文件也在同樣的日志目錄下。

報(bào)告系統(tǒng)

（1）Cflow.pm

日志文件是二進(jìn)制形式，需要特殊的工具閱讀。很多工具均利用Cflow.pm。你可以把它當(dāng)作一個(gè)簡(jiǎn)單的命令行工具。

a.安裝

#/usr/ports/net-mgmt/p5-Cflow/make install

注意，這里沒(méi)有用"clean"這個(gè)參數(shù)，因?yàn)�，安裝過(guò)程可能出錯(cuò)，錯(cuò)誤提示包括這樣一行

"Note (probably harmless): No library found for -lnsl"

如果是這樣你還需要做下面的工作：

# cd /usr/ports/net-mgmt/flow-tools/work/flow-tools-0.68/contrib

# tar -xzvf Cflow-1.051.tar.gz

# cd Cflow-1.051

# perl Makefile.PL

# make

# make install

這樣才算安裝成功,可以"clean"了

b.使用

#flowdumper -s ft-v05.2005-12-12.174000+0800

后面會(huì)出來(lái)很多記錄信息。結(jié)果很容易閱讀。但是沒(méi)有我們關(guān)心的匯總之類(lèi)的圖形化的東西，當(dāng)然你可以在flowdumper的基礎(chǔ)上自行書(shū)寫(xiě)程序，但是，當(dāng)然，肯定已經(jīng)有很多非常棒的程序在那里等著我們了。

（2）flowscan和CUFlow

flowscan是把采集器采集到的數(shù)據(jù)（/var/log/netflows/ft-*）分類(lèi)整理，輸出rrd格式的文件；CUFlow是flowscan使用的模塊（或者插件）。同時(shí)CUFlow包含一個(gè)程序，方便我們通過(guò)WEB訪(fǎng)問(wèn)定制的圖形化數(shù)據(jù)。

a.flowscan設(shè)置

1.安裝：

#/usr/ports/net-mgmt/flowscan/make install clean

由于一段時(shí)間來(lái)沒(méi)有官方的升級(jí)版本，所以要從這里

http://net.doit.wisc.edu/~plonka ... 0848/01-FlowScan.pm

下載升級(jí)版本（V1.5至V1.6）才能正確處理日志數(shù)據(jù)。然后

#cp 01-FlowScan.pm /usr/local/var/db/flows/bin/FlowScan.pm

2.配置：

#cd /usr/local/var/db/flows/bin/;

#cp flowscan.cf.sample flowscan.cf

#vi flowscan.cf /*修改配置文件flowscan.cf*/

------------------------------------------------------------------------------

FlowFileGlob /var/log/netflows/ft-v*[0-9] #需要分析的數(shù)據(jù)的位置

ReportClasses CUFlow #使用的分析模塊

WaitSeconds 300 #分析數(shù)據(jù)產(chǎn)生間隔，單位是秒，這里是5分鐘

Verbose 1 #詳細(xì)日志，但是可以在系統(tǒng)調(diào)試完成后關(guān)閉它，設(shè)置為0

------------------------------------------------------------------------------

b.配置CUFlow

在這里（http://www.columbia.edu/acis/networks/advanced/CUFlow/）下載CUFlow。

#tar xvfz CUFlow-1.5.tgz；cd CUFlow-1.5

#cp CUFlow.pm CUFlow.cf /usr/local/var/db/flows/bin

#vi CUFlow.cf /*修改配置文件CUFlow.cf*/

---------------------------------------------------------------------------------------

Subnet 192.168.2/23 #告訴CUFlow內(nèi)網(wǎng)的IP段高，意區(qū)分外出和進(jìn)入流量

Network 192.168.1.3,192.168.1.5 webservers #設(shè)置要分別處理的流量，當(dāng)然你

Network 192.168.1.9,192.168.1.1 mailservers #會(huì)得到分別的數(shù)據(jù)顯示。注意：

Network 192.168.1.0/25 infrastructure #設(shè)置的地址可以交疊

OutputDir /var/log/cuflow #輸出結(jié)果的位置(RRD)

Scoreboard 10 /usr/local/www/data/scoreboard /usr/local/www/data/scoreboard/topten.html

#產(chǎn)生過(guò)去5分鐘內(nèi)TopN用戶(hù)的網(wǎng)頁(yè)，這里N是10,就是頭10位最大用戶(hù)

AggregateScore 10 /var/log/cuflow/agg.dat /usr/local/www/data/overall.html

#產(chǎn)生所有5分鐘采樣的平均值，這里是頭10位

Router 192.168.1.1 fred #如果你的網(wǎng)絡(luò)有比較復(fù)雜，多個(gè)網(wǎng)段都有自己的探測(cè)器，這里就是區(qū)分各個(gè)

Router 192.168.2.1 barney #不同的探測(cè)器的流量

Service 20-21/tcp ftp #你感興趣的服務(wù)，可以很多，可以自定義

Service 22/tcp ssh

Service 23/tcp telnet

Protocol 1 icmp #你感興趣的協(xié)議

Protocol 6 tcp

Protocol 17 udp

#ASNumber 1 Genuity #這一項(xiàng)是Cisco專(zhuān)用的，所以我注釋掉了

----------------------------------------------------------------------------------------

#mkdir /var/log/cuflow

#mkdir /usr/local/www/data/scoreboard

c.運(yùn)行：

# /usr/local/var/db/flows/bin/flowscan

可以看到flowscan開(kāi)始處理/var/log/netflows/下的文件了，處理完后就會(huì)sleep等待300秒了。

d.啟動(dòng)腳本

# cp /usr/local/etc/rc.d/cflowd-flowscan.sh.sample /usr/local/etc/rc.d/cflowd-flowscan.sh

日志在/var/log/flowscan.log

（3）圖形結(jié)果

a.還記得剛才那個(gè)CUFlow的包么，里面有一個(gè)叫做CUGrapher.pl的文件，把它復(fù)制到/usr/local/www/cgi-bin/下。

b.修改

#vi /usr/local/www/cgi-bin/CUGrapher.pl

--------------------------------------------------------------------------------

my $rrddir = "/var/log/cuflow"; #要處理的rrd文件的位置

my $organization = "My Network"; #修改成自己公司的名字

--------------------------------------------------------------------------------

c.瀏覽

http://youip/topten.html #Top10列表

http://youip/overall.html #總匯總列表

http://youip/cgi-bin/CUGrapher.pl #可定制輸出

d.如果你配置無(wú)誤，并且幸運(yùn)的話(huà)，一切都會(huì)正常。但是我在這里遇到了問(wèn)題。有些（除了Network之外的幾乎全部）選項(xiàng)無(wú)法產(chǎn)生圖象。在google了一通未能找到答案后，開(kāi)始了痛苦的程序debug過(guò)程。好在CUGrapher.pl是個(gè)perl程序，并不很長(zhǎng)，讓我找到了問(wèn)題的所在。需要修改一下CUGrapher.pl這個(gè)文件：

# vi CUGrapher.pl

--------------------------------------------------------------------------------

# router name

if( scalar @} || scalar @} || scalar @}

|| exists $total ) {

push @args, 'COMMENT: Router: '.$r;

}

---------------------------------------------------------------------------------

找到上面這部分，全部注釋掉。

由于我較懶，所以采用了回避（注釋?zhuān)┑姆椒ā?br />
圖形結(jié)果也許不那么令你滿(mǎn)意，當(dāng)然，你可以根據(jù)自己的需要修改CUGrapher.pl來(lái)定制。如果你有改好的文檔，十分感謝能告訴我。

作者: mafa 時(shí)間: 2005-12-13 10:18
提示: 作者被禁止或刪除內(nèi)容自動(dòng)屏蔽

作者: eliumao 時(shí)間: 2005-12-13 10:37

原帖由 mafa 于 2005-12-13 10:18 發(fā)表
這么好的帖子值得珍藏！

呵呵，謝謝！希望能對(duì)大家有所幫助！

作者: bdwy 時(shí)間: 2005-12-13 12:36
為什么不上個(gè)截圖?

作者: eliumao 時(shí)間: 2005-12-13 14:31

原帖由 bdwy 于 2005-12-13 12:36 發(fā)表
為什么不上個(gè)截圖?

不會(huì)在論壇上發(fā)圖。

作者: congli 時(shí)間: 2005-12-13 14:46

原帖由 eliumao 于 2005-12-13 14:31 發(fā)表

不會(huì)在論壇上發(fā)圖。

倒.新貼在輸驗(yàn)證碼的那一頁(yè).
編輯的話(huà)應(yīng)該編輯時(shí)就可以加上.

作者: eliumao 時(shí)間: 2005-12-13 14:48

原帖由 congli 于 2005-12-13 14:46 發(fā)表

倒.新貼在輸驗(yàn)證碼的那一頁(yè).
編輯的話(huà)應(yīng)該編輯時(shí)就可以加上.

知道了，下次注意。

我會(huì)試試的。
謝謝！

作者: ys87918578 時(shí)間: 2005-12-13 17:49
不錯(cuò)！～

作者: qufo 時(shí)間: 2005-12-13 22:17
滅圖不過(guò)癮。

作者: 愛(ài)斯基摩 時(shí)間: 2008-08-23 21:42
很好謝謝分享

作者: dreamice 時(shí)間: 2008-08-23 22:13
這是個(gè)好貼，學(xué)習(xí)了:wink:

作者: coolgg 時(shí)間: 2008-10-08 11:04
頂一下樓主，很久以前也考慮過(guò)用服務(wù)器來(lái)分析鏡像端口的流量，為不支持netflow的設(shè)備進(jìn)行流量統(tǒng)計(jì)，那時(shí)好像用的是nprobe。后來(lái)太懶沒(méi)做，一直都是直接用思科設(shè)備的netflow功能。從采集開(kāi)始是比較熟悉的，topN程序也自己寫(xiě)。

作者: wangbin 時(shí)間: 2008-10-08 22:48
前輩：

近來(lái)小弟的網(wǎng)站遭受了非常專(zhuān)業(yè)的大規(guī)模DDOS攻擊，瞬間流量達(dá)到 246M-420M之間，經(jīng)常出現(xiàn)交換分區(qū)不足死機(jī)的情況，我想求一個(gè)腳本定時(shí)檢測(cè)，發(fā)現(xiàn)交換分區(qū)占用到一定數(shù)量就自動(dòng)重啟或者暫停服務(wù)。

作者: am1234 時(shí)間: 2008-10-10 10:44
標(biāo)題: 回復(fù) #1 eliumao 的帖子
請(qǐng)教樓主個(gè)問(wèn)題，這個(gè)netflow監(jiān)控服務(wù)器怎么部署到網(wǎng)絡(luò)中去？

歡迎光臨 Chinaunix (http://72891.cn/)