هذه هي أمثلة أدوات تدفق الأوامر التي يمكن تشغيلها في مزود الاستضافة المجانية OnWorks باستخدام إحدى محطات العمل المجانية المتعددة على الإنترنت مثل Ubuntu Online أو Fedora Online أو محاكي Windows عبر الإنترنت أو محاكي MAC OS عبر الإنترنت
برنامج:
اسم
أمثلة على أدوات التدفق - مثال على استخدام أدوات التدفق.
مثال - تكوين سيسكو IOS راوتر
يتم تكوين NetFlow على كل واجهة إدخال ، ثم يتم استخدام الأوامر العامة لتحديدها
وجهة التصدير. للتأكد من أن عنوان مصدر ثابت هو Loopback0
تم تكوينه كمصدر للتصدير.
توزيع حقوق الملكية الفكرية
ip flow-export الإصدار 5 origin-as
وجهة تدفق تصدير IP 10.0.0.100 5004
مصدر تدفق تصدير IP Loopback0
واجهة Loopback0
عنوان IP 10.1.1.1 255.255.255.255
واجهة FastEthernet0 / 1/0
عنوان IP 10.0.0.1 255.255.255.0
لا IP موجها البث
تدفق مسار ذاكرة التخزين المؤقت IP
تم توزيع ذاكرة التخزين المؤقت لتوجيه IP
توجد العديد من الخيارات الأخرى مثل NetFlow المجمعة و NetFlow التي تم أخذ عينات منها والتي تم تفصيلها
at (حلقة الوصل إلى URL http://www.cisco.com) .
مثال - تكوين سيسكو كاتيوس مفاتيح
تدعم بعض محولات Cisco Catalyst تطبيقًا مختلفًا لـ NetFlow
على المشرف. باستخدام نموذج إعادة التوجيه المستند إلى ذاكرة التخزين المؤقت والذي يتم تنفيذه
في Catalyst 55xx المزود بوحدة تبديل المسار (RSM) وبطاقة ميزات NetFlow (NFFC) ،
تعالج RSM التدفق الأول ويتم إعادة توجيه الحزم المتبقية في التدفق بواسطة
مشرف. يتم تطبيق هذا أيضًا في الإصدارات القديمة من 65xx مع MSFC. ال
لا يستخدم نموذج إعادة التوجيه الحتمي المستخدم في 65xx مع MSFC2 NetFlow لتحديده
مسار إعادة التوجيه ، يتم استخدام ذاكرة التخزين المؤقت للتدفق فقط للإحصاءات كما هو الحال في IOS الحالي
تطبيقات. في جميع التكوينات المذكورة أعلاه ، تصل الصادرات المتدفقة من كلا ملفي
RSM / MSFC ومحركات المشرف كتدفقات متميزة. في أسوأ يلقي RSM
يقوم بالتصدير في الإصدار 5 ويصدر المشرف في الإصدار 7. لحسن الحظ ، التقاط التدفق
ويمكن لـ flow-Receive فرز كل هذا عن طريق تدفقات المعالجة من كلا المصدرين و
تحويلها إلى تنسيق تصدير مشترك.
تم تكوين جانب جهاز التوجيه الذي يقوم بتشغيل IOS بشكل مماثل للمثال المذكور أعلاه. ال
يتبع تكوين تصدير بيانات CatIOS NetFlow:
تعيين ملل التدفق الكامل
تعيين mls nde الإصدار 7
تعيين mls nde 10.0.0.1 9800
تعيين ملس nde تمكين
عندما يتم تشغيل 65xx في الوضع الأصلي ، يكون التبديل فقط من منظور المستخدمين
تشغيل IOS.
يمكن العثور على المزيد من الأمثلة التفصيلية على موقع الويب الخاص بشركة Cisco
(حلقة الوصل إلى URL http://www.cisco.com) .
مثال - تكوين شجر العرعر راوتر
يدعم Juniper تصدير التدفق بواسطة رؤوس حزم عينات محرك التوجيه و
تجميعها في التدفقات. يتم أخذ عينات الحزمة عن طريق تحديد مرشح جدار الحماية لـ
قبول كل حركة المرور وأخذ عينات منها ، وتطبيق هذه القاعدة على الواجهة ، ثم تكوين ملف
خيار إعادة توجيه أخذ العينات.
واجهات {
ج-0/3/0 {
الوحدة 0 {
عائلة إنت {
منقي {
إدخال الكل
إخراج كل شيء ؛
}
العنوان 10.0.0.1/24 ؛
}
}
}
جدار الحماية {
تصفية الكل {
مصطلح كل {
ثم {
عينة؛
يقبل؛
}
}
}
}
خيارات إعادة التوجيه {
أخذ العينات {
مدخل {
عائلة إنت {
معدل 100 ؛
}
}
انتاج {
10.0.0.100 cflowd {
المنفذ 9800 ؛
الإصدار 5 ؛
}
}
}
}
توجد خيارات أخرى مثل التدفقات المجمعة التي تم تفصيلها في (حلقة الوصل إلى URL
http://www.juniper.net) .
مثال - شبكة طوبولوجيا تدفق. acl
سيتم استخدام طوبولوجيا الشبكة و flow.acl للعديد من الأمثلة التالية.
يتم جمع التدفقات وتخزينها في / تدفقات / ص.
ISP-A ISP-B
++
++
IP = 10.1.2.1 / 24 + + IP = 10.1.1.1 / 24
ifIndex = 2 + + ifIndex = 1
الواجهة = serial1 / 1 + + interface = serial0 / 0
-----
| ص | راوتر الحرم الجامعي
-----
++
IP = 10.1.4.1 / 24 + + IP = 10.1.3.1 / 24
ifIndex = 4 + + ifIndex = 3
الواجهة = إيثرنت 1/1 + + واجهة = إيثرنت 0/0
++
تسويق المبيعات
تصريح مبيعات قياسي لقائمة الوصول إلى IP 10.1.4.0 0.0.0.255
معيار قائمة الوصول إلى عنوان IP not_sales deny 10.1.4.0 0.0.0.255
تصريح التسويق القياسي لقائمة الوصول عبر بروتوكول الإنترنت 10.1.3.0 0.0.0.255
معيار قائمة الوصول إلى بروتوكول الإنترنت not_marketing رفض 10.1.3.0 0.0.0.255
تصريح الحرم الجامعي القياسي لقائمة الوصول إلى IP 10.1.4.0 0.0.0.255
تصريح الحرم الجامعي القياسي لقائمة الوصول إلى IP 10.1.3.0 0.0.0.255
معيار قائمة الوصول إلى IP not_campus deny 10.1.4.0 0.0.0.255
معيار قائمة الوصول إلى IP not_campus deny 10.1.3.0 0.0.0.255
IP Access-list standard evil_hacket تصريح المضيف 10.6.6.6
مضيف تصريح المخادع القياسي لقائمة الوصول إلى بروتوكول الإنترنت 10.9.9.9
البث المتعدد القياسي لقائمة الوصول إلى IP 224.0.0.0 15.255.255.255
مثال - العثور على مخادع عناوين
من المشاكل الشائعة على الإنترنت استخدام "عناوين مخادعة" (عناوين لم يتم تخصيصها
لمؤسسة) لاستخدامها في هجمات DoS أو اختراق الخوادم التي تعتمد على المصدر
عنوان IP للمصادقة.
عرض جميع سجلات التدفق التي تنشأ من الحرم الجامعي ويتم إرسالها إلى الإنترنت ولكن
لا تستخدم عناوين قانونية.
قطة التدفق / تدفقات / ص | مرشح التدفق -لا_حرم -I1,2 | تدفق الطباعة
ملخص لوجهات العناوين المخادعة داخليًا مرتبة حسب ثماني بتات.
قطة التدفق / تدفقات / ص | مرشح التدفق -لا_حرم -I1,2 | تدفق ستات -f8 -S2
ملخص لمصادر العناوين المخادعة داخليًا المصنفة حسب التدفقات.
قطة التدفق / تدفقات / ص | مرشح التدفق -لا_حرم -I1,2 | تدفق ستات -f9 -S1
ملخص للمصادر المخادعة داخليًا وأزواج الوجهة مرتبة حسب الحزم.
قطة التدفق / تدفقات / ص | مرشح التدفق -لا_حرم -I1,2 | تدفق ستات -f10 -S4
عرض جميع سجلات التدفق التي تنشأ خارج الحرم الجامعي الذي يحتوي على عناوين الحرم الجامعي.
في كثير من الأحيان يمكن أن يكون هؤلاء مهاجمين يحاولون استغلال آليات المصادقة المستندة إلى المضيف
مثل أوامر unix r *. مصدر شائع آخر هو عملاء الجوال الذين يرسلون الحزم مع
عناوين الحرم الجامعي الخاصة بهم قبل الحصول على IP صالح.
قطة التدفق / تدفقات / ص | مرشح التدفق - الحرم الجامعي -i1,2 | تدفق الطباعة
ملخص لوجهات العناوين المخادعة خارجيًا مرتبة حسب ثماني بتات.
قطة التدفق / تدفقات / ص | مرشح التدفق - الحرم الجامعي -i1,2 | تدفق ستات -f8 -S2
مثال - حدد المضيفين استخدام or تشغيل الخدمات
ابحث عن جميع خوادم SMTP النشطة خلال فترة التجميع التي تم إنشاؤها
اتصالات بالإنترنت. تلخيص مرتبة حسب ثماني بتات.
قطة التدفق / تدفقات / ص | مرشح التدفق -I1,2 - ص 25 | تدفق ستات -f9 -S2
البحث عن كافة اتصالات NNTP الصادرة بالإنترنت. لخص بالمصدر والوجهة
IP مرتبة حسب ثماني بتات.
قطة التدفق / تدفقات / ص | مرشح التدفق -I1,2 - ص 119 | تدفق ستات -f10 -S3
البحث عن كافة اتصالات NNTP الواردة إلى الإنترنت. لخص بالمصدر والوجهة
IP مرتبة حسب ثماني بتات.
قطة التدفق / تدفقات / ص | مرشح التدفق -i1,2 - ص 119 | تدفق ستات -f10 -S3
مثال - الإرسال المتعدد استعمال
تلخيص Multicast S و G حيث توجد المصادر في الحرم الجامعي.
قطة التدفق / تدفقات / ص | مرشح التدفق -البث المتعدد -I1,2 | تدفق ستات -f10 -S3
تلخيص Multicast S و G حيث تكون المصادر خارج الحرم الجامعي.
قطة التدفق / تدفقات / ص | مرشح التدفق -البث المتعدد -i1,2 | تدفق ستات -f10 -S3
مثال - الماسحات الضوئية
ابحث عن ماسحات SMTP باستخدام flow-dscan. سيجد هذا أيضًا عملاء SMTP يحاولون الاتصال
العديد من الخوادم. يتميز هذا السلوك بفيروس Microsoft المتنقل الحديث.
تواصل dscan.suppress.src dscan.suppress.dst
قطة التدفق / تدفقات / ص | مرشح التدفق - ص 25 | تدفق dscan -b
استخدم أمثلة أدوات التدفق عبر الإنترنت باستخدام خدمات onworks.net
