問題タブ [netflow]

NetFlow 情報を収集するために Linux で独自の C++ デーモンを開発するための C++ ライブラリ セットを探しています。オープンソースのものや利用可能なライブラリセットを知っている人はいますか?

どうもありがとう

一部の PCAP トレースを Netflow 形式に変換して、Netflow ツールでさらに分析したいと考えています。それを行う方法はありますか？

具体的には、次のようにネットフロー トレースから対象のフィールドを抽出するために、「フロー エクスポート」ツールを使用したいと考えています。

この場合、mynetflow.trace ファイルは、次のコマンドを使用して PCAP ファイルを変換することによって取得されます。

これにより、ネットフロー トレースが生成されますが、正しい形式ではないため、フロー エクスポートで正しく使用できません。次のコマンドの出力をパイプして、次のようにフローエクスポートすることも試みました。

しかし、最初のコマンドの出力はゼロのタイムスタンプを生成しました。

何か案は？

私はネット フロー データをインポートおよびエクスポートするプログラムに取り組んでいます。私たちの一般的なアーキテクチャのため、この情報を XML で記述することは理にかなっています。ネット フロー データを記述するための XML はありますか?

NetFlow データの適切な説明は、この Usenix ペーパーhttp://www.usenix.org/events/lisa00/full_papers/navarro/navarro_html/にあります。

この論文によると、ネット フロー データを記述するための SQL スキーマは次のとおりです。

これを XML スキーマに変換するのは非常に簡単です。私の興味は、互換性のない新しいスキーマを作成したくないので、誰かが既にこれを行っているかどうかを知ることです。

ありがとう。

前月のネットフロー データが 5 分ごとのファイルにあり、このすべてのトラフィックのパケット プロファイルを作成したいと考えています。1 パケット フロー、2 パケット フローなどのパーセンテージ表現が必要です。1 パケット フロー、1 ～ 100 パケット フロー、100 などのカテゴリで行うことができます。それほど重要ではありません。しかし、私の質問はそれを行う方法です。加算できないデータのパーセンテージ表示を行うには? すべてのファイルのパーセンテージ表現を行い、それからある種の平均を行うようなものはありますか?

C++ プログラムでは、NetFlow データを処理したいと考えています。これを行うための唯一のツールはflow-toolsで、これはインストール済みで、コマンド ライン (Linux) から完全に実行されています。

flow-tools は c で書かれているため、c++ プログラムでライブラリとして使用できるのではないかと考えましたが、これを行う方法がわかりません。

flow-tools の gzip であるftp://ftp.eng.oar.net/pub/flow-tools/flow-tools-0.66.tar.gzには、ファイルの c-source が含まれており、依存関係は次の場所にあります。 lib フォルダー。

これを行うことはまったく可能ですか？フローツールに代わるものはありますか?

Netflow V9 を分析しているときに、ほとんどのフィールド ID とその値を正しく取得できました。

http://www.iana.org/assignments/ipfix/ipfix.xml

しかし、NAT フィールドの 224、225、226 ではなく、40000、40001、40002 を取得していますが、取得した各フィールドの値は正しいです。

すべてのフィールドの ID と値が正しく取得されていると確信しています。何が本当の問題なのかわからない。を使用して、ホストからネットワークバイトへ、またはその逆に変換してみました

PS Netflow v9 には cisco ルーターを使用しました。

c# アプリで mikrotik ルーターからの netflow パケット (v5) を収集する計画があります。パケットが来るポートで udp リスナーを開き、バイト配列を読み取ります。パケット形式caligare を見て、パケットのバイト配列を分割します。 com、パケット形式のバイト 24 ～ 27 は「フロー開始時の SysUptime」であるため、この 4 バイトを日時に変換したいと考えています。

たとえば、この 4 バイトは 134 、 88 、 157 、 126 です。どうすればよいですか?

ありがとう

ネットワーク インターフェイスのパケットからいくつかの統計を作成する必要がありますが、気になるのは自分の tcp セッションだけです。nfdump と nfsen を使えばできると思いました。私はこのようなことに慣れていないので、nfdump が「フロー」として定義するものを実際には理解できません。

さらに、これらのツールを使用して tcp プロトコル セッションのみの統計を取得できますか? たとえば、私のサーバーでは、すべての接続 (srcip-srcport、dstip-dstport のペア) の平均期間が必要です。このため、3WH と各接続 ([fin/ack,ack] または [rst] のいずれか) を閉じるまでの時間が必要です。nfdump-nfsenでそれは可能ですか?

私は実際に1つを完了しましたが、よく研究された、おそらく学術的なアルゴリズムと私のものを比較したいと思いました。直接または組み合わせて私の特定のニーズを解決する統計オブジェクトのライブラリがあるかもしれません。

私のシステム（OpenSourceを使用する予定です）には、NetFlowデータのストリームがあります。データベースに保存してSQL関数を使用するよりも、データベースのないシステムを使用して一連の統計を維持し、新しいフローごとに更新し、1秒あたり（またはそれ以上）にスクロールすることを好みます。

私のソリューションには、秒、分、時間、日、週などを表すサイズ[60、59、23、6、...]のジャグ配列を効果的に作成するためのuintの単一配列が含まれます。

各スロットには、その時間の合計バイト数が含まれています。したがって、60秒後、1分間の統計がAvg（seconds）として作成されます。もちろん、これは比較的時間スケールで継続します。

単に数千秒の増分があるのではなく、次の理由によるものです。

1. メモリの制約と、より多くの統計ノードを持つ可能性。と
2. ユーザーへの理想的なプレゼンテーション

...タイムスケールをロールアップします。

フローが統計の階層内の複数のノード（WANリンク、IPアドレス、宛先アドレス、SourcePort-DestinationPort）に適用される可能性があることを考えると、デルタを1回計算して（GenerateDelta）、アクティブであるすべてのノードに適用するだけです。これはフローメタデータと一致します。

次の潜在的なケースでは、特定のノードの統計が「スクロール」されます。

1. 読み取り/表示時（HTTP \ JSON AJAXリクエスト経由）
2. デルタが適用されているとき（関連するフローのため）
3. 単にn秒ごと（nは通常1）

全体として、時間の経過とともに（秒、分などで）実行中の合計を維持するための十分に確立されたアルゴリズムがある可能性があります。しかし、それに失敗すると、私のコードのより小さなサブセクションで比較するための適切なアルゴリズムもあるかもしれません：

• GenerateDelta-これは、統計配列のスロット全体の期間でフローを分解および平均化するために固有であるため、可能性は低いです。
• スクロール-秒しかない場合、これはもちろん簡単ですが、私のソリューションでは、60秒を60秒ごとに新しい分の合計に結合する必要があります。

レスポンダーが独自のアルゴリズムを提案することを望んでいません。私はすでに（ほぼ）すべてのアルゴリズムを問題なく完了し、多くのパフォーマンスを考慮しています。そして、私がオープンソースとして公開し終えたときに、他の人が私のアルゴリズムを見ることができるでしょう。

私が見たいのは、比較のための「十分に確立された」アルゴリズムです。おそらく私のものは良くなるでしょう、おそらく私のものは悪くなるでしょう。グーグルはこの種の質問が得意ではありません、私はあなたの助けが必要です。

ありがとう！

私はsoftflowd+nfdumpネットフローデータを作成し、このデータを2次元（文字列）配列に保存するために使用しています

私はc++で書いています。配列内の各「行」はフロー レコードを表し、47 は nfdump によって表示されるネットフロー データの異なるフィールドの数です。

IP ごとにいくつかの統計を作成したい (たとえば、IP ごとにいくつの接続フローがあるか) が、同じ IP (srcip の値が保存されている) でそれらの行フローを取得する方法がわかりませんフロー[j] [4]で、私はc ++が初めてです）。

前もって感謝します！