問題タブ [netflow]

自分のネットワークでどのような種類のアプリケーションが動作するかを調べようとします (Facebook、Youtube、Twitter など)。残念ながら、私はディープ パケット インスペクションを行うことができません。私が持っているものはすべて NetFlow トレースです。DNSサーバーを使用してIPアドレスを解決し、フローのドメイン名を確認することを考えていました。しかし、アプリケーションがアプリケーション名を含まないドメインを使用している場合はどうなるでしょうか? 特定のアプリ/ウェブサイトを使用するすべての IP アドレスを見つける可能性はありますか?

Solarwinds Netflow Traffic Analyzer の Orion Report Writer で SQL クエリを実行しており、同じ一般的なソースからの特定の会話のデータ使用量を合計しようとしています。この場合はネットフリックスです。クエリでいくつかの進歩を遂げました。

したがって、netflix セッション (Full_Hostname_A) と各セッションの合計使用量 (Sum_Of_Bytes_Transferred) 以外のすべてをフィルター処理する出力があります。

Sum_Of_Bytes_Transferred を合計して、リストされているすべての netflix セッションの合計使用量を取得したいと考えています。これは Total_Bytes に出力されます。Total_Bytes 列を作成しましたが、合計を出力する方法がわかりません。

明確にするために、上記のクエリからの出力を次に示します。

Total_Bytes 列をすべて合計して 1 つの数値にしたい。

nfcapd を使用して netflow からデータを収集しています。また、すべてのデバイスのイン トラフィックとアウト トラフィックを監視しています。

どのデータが netflow から送られてくるのか混乱しています。

たとえば
、5 分間で、特定のリンク (srcip、dstip、srcifindex、dstifindex) = 10K バイトで sum(no_of_bytes) を与えるネットフロー データを受信します。

「イン トラフィック」は 20K バイト、「アウト トラフィック」は約 10K バイトです。

これは何を意味するのでしょうか ？

私の質問は次のとおりです。特定のリンクの netflow データによって与えられる合計は、リンクのいずれかのポートのどのトラフィックと一致する必要がありますか?

私が持っている仮想マシンからファイアウォール (5.4 OpenBSD 仮想マシン) を通過するすべての udp パケットをキャプチャし、そのパケットを MySQL データベースに保存するソフトウェアを開発しています。

私のコードは基本的に次のとおりです。

コードは正常に動作しています。私の問題は、データベースに保存されたコンテンツを表示しようとすると、奇妙な文字がたくさんあることです。これはバイナリ (だと思います) であるため、必要な情報を取得するために読み取ることができません。 (フロー レコード形式、ここで表示できます)

私のテーブルは非常に単純です。コード (int、自動インクリメント) の 2 つの列と、fluxo (varbinary(10000)) の列があります。これは、MySQL Workbench で「エディターで値を開く」をクリックすると表示されるものです。 パケット コンテンツ

SQL データベースのネットフロー データを使用して DoS 検出プログラムを作成しようとしています。これまでのところ、これを達成する方法についての一般的なアイデアはありますが、方向性が必要です。

ここまでのプログラムの流れは次のとおりです。

私の論理は次のとおりです。

1. 過去 8 時間の一意のフローをすべて検索します。
2. このデータを使用して、これらの固有のフローごとにすべてのフロー データを見つけます。
3. 作成した配列をフローごとにサブ配列または個々の配列に分割します。
4. 各フローが独自の配列を持つと、パケットとデータが平均化され、疑似ベースラインが取得されます。
5. 最新のフロー エントリをこれらの平均値と比較し、異常があるかどうかを判断します (一方向のデータ フローで 200% を超える増加/減少)。
6. 異常が検出された場合は、イベントについて警告する電子メールを送信します。
7. 60 秒待ってから、ループを再開します。

コードが完成には程遠く、非常にずさんである可能性が高いことは承知していますが、どんな助けも大歓迎です!