これは、Ubuntu Online、Fedora Online、Windows オンライン エミュレーター、MAC OS オンライン エミュレーターなど、複数の無料オンライン ワークステーションのいずれかを使用して、OnWorks 無料ホスティング プロバイダーで実行できるコマンド flow-tools-examples です。
プログラム:
NAME
フロー ツールの例 — フローツールの使用例。
実施例 - 設定 Cisco IOS ルータ
NetFlow は各入力インターフェイスで設定され、次にグローバル コマンドを使用して指定します
輸出先。 一貫性のある送信元アドレス アドレス Loopback0 を確保するには
エクスポート ソースとして構成されます。
ip cef 分散
ip flow-export バージョン 5 オリジン-as
ip フロー エクスポート先 10.0.0.100 5004
ip フロー エクスポート ソース Loopback0
インターフェイス Loopback0
IPアドレス10.1.1.1
インターフェイス FastEthernet0/1/0
IPアドレス10.0.0.1
IP ダイレクト ブロードキャストなし
ip route-cache フロー
ip route-cache 分散
集約された NetFlow やサンプリングされた NetFlow など、他にも多くのオプションが存在します。
at (リンク 〜へ URL http://www.cisco.com) .
実施例 - 設定 Cisco CatIOS スイッチ
一部の Cisco Catalyst スイッチは、NetFlow の別の実装をサポートしています。
スーパーバイザーで実行されます。 実装されているキャッシュベースの転送モデルで
ルート スイッチ モジュール(RSM)および NetFlow フィーチャ カード(NFFC)を搭載した Catalyst 55xx では、
RSM は最初のフローを処理し、フロー内の残りのパケットは RSM によって転送されます。
スーパーバイザー。 これは、MSFC を搭載した 65xx の初期バージョンにも実装されています。 の
MSFC65 を使用する 2xx で使用される決定論的転送モデルは、NetFlow を使用しないで決定します。
転送パス、フロー キャッシュは現在の IOS のように統計にのみ使用されます。
実装。 上記の構成のすべてで、フロー エクスポートは両方から到着します。
RSM/MSFC とスーパーバイザ エンジンを個別のストリームとして。 最悪のキャストでは RSM
はバージョン 5 でエクスポートし、スーパーバイザーはバージョン 7 でエクスポートします。幸い、フロー キャプチャ
flow-receive は、ソースとソースの両方からのフローを処理することで、これらすべてを整理できます。
それらを共通のエクスポート形式に変換します。
IOS を実行しているルータ側は、上記の例と同じように設定されています。 の
CatIOS NetFlow データ エクスポートの設定は次のとおりです。
mls フローをフルに設定
mls nde バージョン 7 を設定します
セット mls nde 10.0.0.1 9800
mls nde を有効に設定
65xx がネイティブ モードで実行されている場合、ユーザーの観点からすると、スイッチは
IOS を実行しています。
より詳細な例は、Cisco の Web サイトにあります。
(リンク 〜へ URL http://www.cisco.com) .
実施例 - 設定 ジュニパー ルータ
ジュニパーは、ルーティング エンジンがパケット ヘッダーをサンプリングし、フロー エクスポートをサポートします。
それらをフローに集約します。 パケットのサンプリングは、ファイアウォール フィルターを次のように定義することによって行われます。
すべてのトラフィックを受け入れてサンプリングし、そのルールをインターフェイスに適用してから、
サンプリング転送オプション。
インターフェース {
ge-0/3/0 {
ユニット0 {
家族のinet {
フィルター {
すべてを入力します。
すべてを出力します。
}
アドレス 10.0.0.1/24;
}
}
}
ファイアウォール {
すべてをフィルタ {
すべての用語 {
それから {
サンプル;
受け入れる;
}
}
}
}
転送オプション {
サンプリング {
入力 {
家族のinet {
レート100;
}
}
出力 {
cflowd 10.0.0.100 {
ポート 9800;
バージョン 5;
}
}
}
}
で詳述されている集約フローなど、他のオプションが存在します。 (リンク 〜へ URL
http://www.juniper.net) .
実施例 - ネットワーク トポロジー と フロー.acl
ネットワーク トポロジと flow.acl は、以降の多くの例で使用されます。
フローは収集され、次の場所に保存されます。 /フロー/R.
ISP-A ISP-B
+ +
+ +
IP=10.1.2.1/24 + + IP=10.1.1.1/24
ifIndex=2 + + ifIndex=1
インターフェイス=シリアル1/1 + + インターフェイス=シリアル0/0
-----
| | R | キャンパス ルーター
-----
+ +
IP=10.1.4.1/24 + + IP=10.1.3.1/24
ifIndex=4 + + ifIndex=3
インターフェイス=Ethernet1/1 + + インターフェイス=Ethernet0/0
+ +
セールス&マーケティング
ip access-list 標準販売許可 10.1.4.0 0.0.0.255
ip アクセスリスト標準 not_sales 拒否 10.1.4.0 0.0.0.255
ip access-list 標準マーケティング許可 10.1.3.0 0.0.0.255
ip アクセスリスト標準 not_marketing 拒否 10.1.3.0 0.0.0.255
ip access-list 標準キャンパス許可 10.1.4.0 0.0.0.255
ip access-list 標準キャンパス許可 10.1.3.0 0.0.0.255
ip アクセスリスト標準 not_campus 拒否 10.1.4.0 0.0.0.255
ip アクセスリスト標準 not_campus 拒否 10.1.3.0 0.0.0.255
ip アクセス リスト標準の悪_ハケット許可ホスト 10.6.6.6
ip access-list 標準スプーファー許可ホスト 10.9.9.9
ip access-list 標準マルチキャスト 224.0.0.0 15.255.255.255
実施例 - 検索 なりすまし アドレス
インターネットでよくある問題は、「なりすまし」(割り当てられていないアドレス) の使用です。
DoS 攻撃またはソースに依存するサーバーの侵害に使用するため
認証用の IP アドレス。
キャンパスから発信され、インターネットに送信されるすべてのフロー レコードを表示しますが、
は合法的な住所を使用していません。
フローキャット /フロー/R | フローフィルター -Snot_キャンパス -I1,2 | フロープリント
オクテットごとにソートされた、内部でスプーフィングされたアドレスの宛先の概要。
フローキャット /フロー/R | フローフィルター -Snot_キャンパス -I1,2 | フロー統計 -f8 -S2
内部でスプーフィングされたアドレスの送信元をフロー別にまとめたもの。
フローキャット /フロー/R | フローフィルター -Snot_キャンパス -I1,2 | フロー統計 -f9 -S1
内部でスプーフィングされた送信元と宛先のペアの概要をパケット別に並べ替えます。
フローキャット /フロー/R | フローフィルター -Snot_キャンパス -I1,2 | フロー統計 -f10 -S4
キャンパス アドレスを持つキャンパスの外部から発信されたすべてのフロー レコードを表示します。
多くの場合、これらはホストベースの認証メカニズムを悪用しようとする攻撃者である可能性があります
unix r* コマンドのように。 別の一般的なソースは、パケットを送信するモバイル クライアントです。
有効な IP を取得する前にキャンパス アドレスを取得します。
フローキャット /フロー/R | フローフィルター -スキャンパス -i1,2 | フロープリント
オクテットでソートされた、外部でスプーフィングされたアドレスの宛先の概要。
フローキャット /フロー/R | フローフィルター -スキャンパス -i1,2 | フロー統計 -f8 -S2
実施例 - 見つける ホスト or ランニング サービス
確立された収集期間中にアクティブなすべての SMTP サーバーを検索します。
インターネットへの接続。 オクテットでソートして要約します。
フローキャット /フロー/R | フローフィルター -I1,2 - P25 | フロー統計 -f9 -S2
インターネットへのアウトバウンド NNTP 接続をすべて検索します。 ソースと宛先で要約する
オクテットでソートされた IP。
フローキャット /フロー/R | フローフィルター -I1,2 - P119 | フロー統計 -f10 -S3
インターネットへのインバウンド NNTP 接続をすべて検索します。 ソースと宛先で要約する
オクテットでソートされた IP。
フローキャット /フロー/R | フローフィルター -i1,2 - P119 | フロー統計 -f10 -S3
実施例 - マルチキャスト 使用
ソースがキャンパス内にある場合のマルチキャスト S,G を要約します。
フローキャット /フロー/R | フローフィルター -Dマルチキャスト -I1,2 | フロー統計 -f10 -S3
ソースがキャンパス外にある場合のマルチキャスト S,G を要約します。
フローキャット /フロー/R | フローフィルター -Dマルチキャスト -i1,2 | フロー統計 -f10 -S3
実施例 - もう完成させ、ワークスペースに掲示しましたか? スキャナ
flow-dscan で SMTP スキャナーを検索します。 これにより、接続を試みる SMTP クライアントも検出されます。
多くのサーバー。 この動作は、最近の Microsoft ワームによって特徴付けられます。
touch dscan.suppress.src dscan.suppress.dst
フローキャット /フロー/R | フローフィルター - P25 | フロースキャン -b
onworks.net サービスを使用してオンラインで flow-tools-examples を使用する
