NetFlow V9协议解析使用教程(二)-配置,采集,处理NetFlow

NetFlow V9协议解析使用教程(一)
NetFlow V9协议解析使用教程(二)-配置,采集,处理NetFlow
一.实践环境
1.不是每一台交换机或者路由器都支持Netflow,如果不支持可以使用Fprobe监听流量,生成Netflow
2.采用的是中兴路由器,其它路由器如何设置要看它的用户手册了,但这里提供思路参考

比如现在想监听路由器1网口的双向流量,然后将NetFlow发往某个可达到的IP地址(例子:192.168.20.12)
中兴路由器配置如下:

ZXR10(config)#flow exporter exp //配置NetFlow输出策略,如果想要删除,则no flow exporter exp
ZXR10(config-flow-exporter)#destination ipv4-address 192.168.20.12	//将NetFlow数据报发送到192.168.20.12
ZXR10(config-flow-exporter)#transport udp 555 	//端口为555,OSSIM接收的端口为555
ZXR10(config-flow-exporter)#export-protocol netflow-v9 	//NetFlow的版本为V9
ZXR10(config-flow-exporter)#template data refresh 20 //将模板按照输出的netflow报文个数进行重复发送,范围1~600,默认值为20。
ZXR10(config-flow-exporter)#template data timeout 30  //将模板按照时间重发,范围1~86400,默认值是600秒。
ZXR10(config-flow-exporter)#exit  

ZXR10(config)#sampler sam //配置NetFlow采样策略
ZXR10(config-sampler)#mode deterministic 1-out-of 1  //deterministic表示采样方式为非随机采样,1-out-of 1表示对所有包都进行采样
ZXR10(config-sampler)#exit  

ZXR10(config)#flow record rec //创建NetFlow记录策略,并设置关键字段和非关键字段,其中match为关键字段,collect为非关键字段
ZXR10(config-flow-record)#match ipv4 source address 
ZXR10(config-flow-record)#match ipv4 destination address  
ZXR10(config-flow-record)#match transport source-port  
ZXR10(config-flow-record)#match transport destination-port  
ZXR10(config-flow-record)#collect counter bytes //采集的计数单位
ZXR10(config-flow-record)#collect counter packets 
ZXR10(config-flow-record)#collect timestamp absolute first-millisec	//flow第一个数据报到达的时间
ZXR10(config-flow-record)#collect timestamp absolute last-millisec	//flow最后一个数据报到达的时间
ZXR10(config-flow-record)#exit 

ZXR10(config)#flow monitor mo //配置监测策略,这个配置和路由器发送Netflow数据报的速率有关
ZXR10(config-flow-monitor)#cache entries 16  //配置缓存大小,单位为flow的个数,最小16,即缓存的flow数目达到16才会发送NetFlow数据报
ZXR10(config-flow-monitor)#cache timeout active 60 //设置flow活跃老化时间
ZXR10(config-flow-monitor)#cache timeout inactive 10 //设置flow非活跃老化时间
ZXR10(config-flow-monitor)#exporter exp //关联到NetFlow输出策略exp
ZXR10(config-flow-monitor)#record rec //关联到NetFlow输出的记录格式策略rec
ZXR10(config-flow-monitor)#exit 

ZXR10(config)#interface gei-1/1 //配置NetFlow接口
ZXR10(config-if-gei-1/1)#no shutdown
ZXR10(config-if-gei-1/1)#ip flow monitor mo sampler sam input //在接口上设置对IPv4报文的采样
ZXR10(config-if-gei-1/1)#ip flow monitor mo sampler sam output
ZXR10(config-if-gei-1/1)#exit
ZXR10(config)#show running-config ipflow	//查看NetFlow配置

二.采集NetFlow数据包
1.路由器发送Netflow数据包的形式为(其它路由器可能有别的形式,形式类别参考第一篇写的):
(1)定时发送只带模板信息的Netflow数据包
(2)发送NetFlow数据包,不带模板信息

2.采集NetFlow数据包的工具:
(1)nfdump //用于采集和处理Netflow数据包,是个工具集
nfdump-1.6.17.zip
安装:
unzip nfdump-1.6.17.zip
cd nfdump-1.6.17
./configure
make
make install
然后再/usr/local/bin目录下会有nfcapd,nfdump,nfanon,nfexpire,nfreplay组件
nfcapd用于抓Netflow包并存储在磁盘,运行命令
/usr/local/bin/nfcapd -w -D -B 200000 -S 7 -p 555 -l /IDE/netflow
nfdump用于解析存储下来的netflow文件,也可以进行统计汇聚
nfdump -r nfcapd.201905020900 -o line
参考
https://blog.csdn.net/zhongbeida_xue/article/details/62218611
(2)nfsen //用于可视化和统计汇聚netflow数据文件
(3)OSSIM其实也就是用的nfdump+nfsen
在这里插入图片描述

你可能感兴趣的:(安全)