Linux'ta Netflow Verileri Nasıl Oluşturulur

17

Bir netflow analizörü tarafından işlenecek netflow verilerini yakalamak istediğim bir dizi Linux sunucumuz var. Mikrotik yönlendiricilerin netflow veri oluşturmaya izin verme kolaylığı nedeniyle şımarık oldum, ancak bir Linux sisteminde birden çok arabirim için netflow verileri oluşturabilen bir açık kaynak aracı bulmayı başaramadım.

Ben fprobe rastladım ama oldukça adamcağız görünüyor. Kuşkusuz, başka olasılıkları da değerlendirmek istediğim için henüz fazla zaman geçirmedim. Bahsettiğim diğer araç , GPL gibi görünen nprobe , ancak yalnızca bir ücret karşılığında sunulduğu için ücretsiz olarak indirilemiyor.

Netflow verileri oluşturmayı planladığım sunucuların tümü Gentoo sistemleridir, ancak bu gerçekten bir fark yaratmamalıdır. En çok bir aracı el ile derlemem gerektiği anlamına gelir.

Özet: Linux üzerinde çalışacak ve çoklu arayüzler için akışları yakalamaya izin veren bir açık kaynaklı ağ akışı üreticisi arıyorum.

— Richard Keller
kaynak

16

IPT-NETFLOW'u kontrol etmelisiniz , IPTABLES için çekirdek modülü olarak uygulamanız gereken şey tam olarak görünüyor. Aktif olarak korunur ve bazı ISP'lerde başarılı bir şekilde kullanılır, bu yüzden yeterince iyi olmalıdır. Belgeler daha iyi olabilir (README dosyasına bakın).

— Ochoto
kaynak

Gerçekten çok iyi test edilmiş ve kararlı bir modül olmadıkça, özel çekirdek modüllerini derleme zorunluluğunu sevmiyorum - bu gerçekten iyi test edilmiş ve kararlı bir modül olmadıkça ...

— Wim Kerkhoff

Bu, böyle bir yazılımın netgraph gibi yerinde çekirdek özelliklerine karşı geliştirilebileceği freebsd değildir. Özel bir modül olmadan bunu yapmanın neredeyse hiçbir yolu yoktur. İyi bir şey (ve bu yüzden yorum yapıyorum) kaynakların şimdi github üzerinde olması ve aynı zamanda şimdi dkms desteği var. Oldukça iyi görünüyor. github.com/aabc/ipt-netflow

— Florian Heigl

8

ntop bunu yapacak, ama muhtemelen en iyi seçim değil. Kesinlikle pmacct kontrol edin ; tam olarak bunun için tasarlanmıştır. Özellik listesinden:

Libpcap, Netlink / ULOG, NetFlow v1 / v5 / v7 / v8 / - v9, sFlow v2 / v4 / v5 ve IPFIX aracılığıyla veri toplar
Verileri bellek tabloları, MySQL, PostgreSQL, SQLite ve BerkeleyDB dahil olmak üzere bir dizi arka uca kaydeder
IPFIX, NetFlow v5 / v9 vesFlow v5 aracılığıyla uzak toplayıcılara veri aktarır
Gelen IPFIX, NetFlow ve sFlow paketlerini uzak toplayıcılara çoğaltır

Diğer birçok şey arasında.

— Wim Kerkhoff
kaynak

0

fprobe'nin avantajı, normal libpcap veya ulogd kullanarak Netflow akışları oluşturabilmesidir .

biraz daha tarihli ve gerçekten daha utanç verici görünüyor, ancak bir çekirdek modülünün ( ipt-netflow gibi) derlenmesini gerektirmediği ve herhangi bir ek özellik ( ntop veya pmacct gibi) göndermediği için bir kurulumun önyüklenmesi yararlı olabilir. ).

— anarcat
kaynak