NetFlow

от ILuxWiki

Бях против този метод за мерене на трафици. Но вече е време да си поиграя и с него - меренето с ipfw или iptables е доста точно, но при повечко потребители и по голям поток от данни през машината не е ефективен...

В момента това са само бележки относно експериментите, които правя. Надявам се в последствие ако се укаже успешно всичко да понапиша нещо задоволително по тази тема.

Съдържание 1 използвани пакети 2 примери 3 забелязани проблеми 3.1 softflow

използвани пакети

1. демони
   1. ng_netflow - към кърнъла, но нещо не ми хареса ?!?, да се проучи по подробно
   2. softflow - използва pcap, има вариант и за linux
   3. trafd - The BPF Traffic collector, претендира да може да се ползва през rsh, но ми направи някой номера
2. събирачи
   1. flow-tools - събира информация (flow-capture, flow-cat, flow-print)
   2. flowd - претендира да работи много бързо, добър cfg файл. - неизтестван

примери

1. softflow + flow-capture

~# softflowd -d -i net1 -n 10.210.0.210:8899

~# flow-capture -p /var/run/flow-capture.pid -n 287 -N 0 -w /var/log/netflows/ -S 5 /10.210.0.210/8899

+/var/log/netflows # flow-cat ft-v05.* | flow-print

забелязани проблеми

softflow

• не отчита ICMP трафика - възможно е проблема да е и в flow-tools, защото softflowctl statistics отчита съотвения брой icmp пакети.

• трафика се рапортува след затваряне на връзката, по този начин не може да се прецизира колко трафик се прави моментно, през определен интервал от време... Пример: при гледане на няколко филма от samba сървър, виндовс-а затваря връзката след няколко часа, информацията се внася в db файла в момента на затварянето, получава се стойности в порядъка на гигабайти...