Oto przykłady narzędzi przepływu poleceń, które można uruchomić u dostawcy bezpłatnego hostingu OnWorks przy użyciu jednej z naszych wielu bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online systemu MAC OS
PROGRAM:
IMIĘ
przykłady narzędzi przepływu — Przykład użycia narzędzi przepływu.
PRZYKŁAD - Konfigurowanie Cisco IOS Router
NetFlow jest konfigurowany na każdym interfejsie wejściowym, a następnie do określania używane są polecenia globalne
miejsce docelowe eksportu. Aby zapewnić spójny adres źródłowy, adres Loopback0 wynosi
skonfigurowany jako źródło eksportu.
ip cef jest dystrybuowany
ip flow-export wersja 5 Origin-as
ip flow-export przeznaczenia 10.0.0.100 5004
źródło eksportu przepływu ip Loopback0
interfejs Loopback0
adres IP 10.1.1.1 255.255.255.255
interfejs FastEthernet0/1/0
adres IP 10.0.0.1 255.255.255.0
brak transmisji kierowanej na adres IP
ip przepływ pamięci podręcznej trasy
Rozproszona pamięć podręczna trasy ip
Istnieje wiele innych opcji, takich jak zagregowany NetFlow i próbkowany NetFlow, które są szczegółowe
at (połączyć do URL http://www.cisco.com) .
PRZYKŁAD - Konfigurowanie Cisco CatIOS Przełącznik
Niektóre przełączniki Cisco Catalyst obsługują inną implementację NetFlow
wykonywane na przełożonym. Z zaimplementowanym modelem przekazywania opartym na pamięci podręcznej
w Catalyst 55xx z modułem przełączania tras (RSM) i kartą funkcji NetFlow (NFFC)
RSM przetwarza pierwszy przepływ, a pozostałe pakiety w strumieniu są przekazywane dalej
Kierownik. Jest to również zaimplementowane we wczesnych wersjach 65xx z MSFC. The
deterministyczny model przekazywania używany w 65xx z MSFC2 nie używa NetFlow do określenia
ścieżki przekazywania, pamięć podręczna przepływu jest używana tylko do celów statystycznych, tak jak w bieżącym systemie IOS
wdrożenia. We wszystkich powyższych konfiguracjach eksport przepływu odbywa się zarówno z pliku
Silniki RSM/MSFC i Supervisor jako odrębne strumienie. W najgorszej obsadzie RSM
eksport w wersji 5 i eksport Supervisora w wersji 7. Na szczęście przechwytywanie przepływu
i flow-receive mogą to wszystko uporządkować, przetwarzając przepływy z obu źródeł i
konwertując je do wspólnego formatu eksportu.
Po stronie routera uruchomiony system IOS jest skonfigurowany identycznie jak w przykładzie podanym powyżej. The
Konfiguracja eksportu danych CatIOS NetFlow jest następująca:
ustaw pełny przepływ mls
ustaw mls nde wersję 7
ustaw mls nde 10.0.0.1 9800
ustaw mls i włącz
Kiedy 65xx działa w trybie natywnym, z punktu widzenia użytkownika przełącznik jest tylko
działającego iOS-a.
Bardziej szczegółowe przykłady można znaleźć na stronie internetowej Cisco
(połączyć do URL http://www.cisco.com) .
PRZYKŁAD - Konfigurowanie Jałowiec Router
Juniper obsługuje eksport przepływów poprzez nagłówki pakietów próbkujących i silnik routingu
agregując je w przepływy. Próbkowanie pakietów odbywa się poprzez zdefiniowanie filtra zapory sieciowej
zaakceptuj i próbkuj cały ruch, stosując tę regułę do interfejsu, a następnie konfigurując
opcja przesyłania próbek.
interfejsy {
g-0/3/0 {
jednostka 0 {
rodzinna inet {
filtrować {
wprowadź wszystko;
wyprowadź wszystko;
}
adres 10.0.0.1/24;
}
}
}
zapora sieciowa {
filtruj wszystko {
termin wszystkie {
Następnie {
próbka;
zaakceptować;
}
}
}
}
opcje przekazywania {
pobieranie próbek {
wejście {
rodzinna inet {
stawka 100;
}
}
wyjście {
cflowd 10.0.0.100 {
port 9800;
wersja 5;
}
}
}
}
Istnieją inne opcje, takie jak zagregowane przepływy, które są szczegółowo opisane na stronie (połączyć do URL
http://www.juniper.net) .
PRZYKŁAD - Sieć topologia i przepływ.akl
Topologia sieci i plik flow.acl zostaną wykorzystane w wielu poniższych przykładach.
Przepływy są gromadzone i przechowywane w /przepływy/R.
ISP-A ISP-B
+++
+++
IP=10.1.2.1/24 + + IP=10.1.1.1/24
jeśliIndeks=2 + + jeśliIndeks=1
interfejs=serial1/1 + + interfejs=serial0/0
-----
| R | Router kampusowy
-----
+++
IP=10.1.4.1/24 + + IP=10.1.3.1/24
jeśliIndeks=4 + + jeśliIndeks=3
interfejs=Ethernet1/1 + + interfejs=Ethernet0/0
+++
Sprzedaż i Marketing
ip access-list standardowe zezwolenie na sprzedaż 10.1.4.0 0.0.0.255
ip lista dostępu standard not_sales deny 10.1.4.0 0.0.0.255
ip access-list standardowe zezwolenie marketingowe 10.1.3.0 0.0.0.255
ip lista dostępu standard not_marketing deny 10.1.3.0 0.0.0.255
ip access-list standardowe zezwolenie na kampus 10.1.4.0 0.0.0.255
ip access-list standardowe zezwolenie na kampus 10.1.3.0 0.0.0.255
standardowa lista dostępu ip not_campus deny 10.1.4.0 0.0.0.255
standardowa lista dostępu ip not_campus deny 10.1.3.0 0.0.0.255
standardowa lista dostępu ip host zezwolenia na zło_hacket 10.6.6.6
Standardowa lista dostępu ip, host zezwalający na spoofer 10.9.9.9
lista dostępu ip standardowa multiemisja 224.0.0.0 15.255.255.255
PRZYKŁAD - Odkrycie sfałszowany Adresy
Częstym problemem w Internecie jest używanie „sfałszowanych” (adresów, które nie są przypisane
do organizacji) do wykorzystania w atakach DoS lub włamywaniu się na serwery zależne od źródła
Adres IP do uwierzytelnienia.
Wyświetla wszystkie rekordy przepływu, które pochodzą z kampusu i są wysyłane do Internetu, ale
nie używają legalnych adresów.
kot przepływowy /przepływy/R | filtr przepływu -Snot_kampus -I1,2 | druk przepływowy
Podsumowanie miejsc docelowych wewnętrznie sfałszowanych adresów posortowanych według oktetów.
kot przepływowy /przepływy/R | filtr przepływu -Snot_kampus -I1,2 | przepływ-stat -f8 -S2
Podsumowanie źródeł wewnętrznie sfałszowanych adresów posortowanych według przepływów.
kot przepływowy /przepływy/R | filtr przepływu -Snot_kampus -I1,2 | przepływ-stat -f9 -S1
Podsumowanie wewnętrznie sfałszowanych par źródeł i miejsc docelowych posortowanych według pakietów.
kot przepływowy /przepływy/R | filtr przepływu -Snot_kampus -I1,2 | przepływ-stat -f10 -S4
Wyświetl wszystkie rekordy przepływu pochodzące spoza kampusu i mające adresy kampusu.
W wielu przypadkach mogą to być napastnicy próbujący wykorzystać mechanizmy uwierzytelniania oparte na hoście
jak polecenia unix r*. Innym częstym źródłem są klienci mobilni, którzy wysyłają pakiety
adresy kampusu przed uzyskaniem prawidłowego adresu IP.
kot przepływowy /przepływy/R | filtr przepływu -Skampus -i1,2 | druk przepływowy
Podsumowanie miejsc docelowych zewnętrznie sfałszowanych adresów posortowanych według oktetów.
kot przepływowy /przepływy/R | filtr przepływu -Skampus -i1,2 | przepływ-stat -f8 -S2
PRZYKŁAD - Lokalizować gospodarze za pomocą or bieganie Branże
Znajdź wszystkie serwery SMTP aktywne w ustalonym okresie gromadzenia danych
połączenia z Internetem. Podsumowanie posortowane według oktetów.
kot przepływowy /przepływy/R | filtr przepływu -I1,2 -P25 | przepływ-stat -f9 -S2
Znajdź wszystkie wychodzące połączenia NNTP z Internetem. Podsumuj, podając źródło i miejsce docelowe
IP posortowane według oktetów.
kot przepływowy /przepływy/R | filtr przepływu -I1,2 -P119 | przepływ-stat -f10 -S3
Znajdź wszystkie przychodzące połączenia NNTP z Internetem. Podsumuj, podając źródło i miejsce docelowe
IP posortowane według oktetów.
kot przepływowy /przepływy/R | filtr przepływu -i1,2 -P119 | przepływ-stat -f10 -S3
PRZYKŁAD - Multicast zwyczaj
Podsumuj Multicast S, G, gdzie źródła znajdują się na terenie kampusu.
kot przepływowy /przepływy/R | filtr przepływu -Dmulticast -I1,2 | przepływ-stat -f10 -S3
Podsumuj multicast S, G, gdy źródła znajdują się poza kampusem.
kot przepływowy /przepływy/R | filtr przepływu -Dmulticast -i1,2 | przepływ-stat -f10 -S3
PRZYKŁAD - Znajdź skanery
Znajdź skanery SMTP za pomocą flow-dscan. Spowoduje to również znalezienie klientów SMTP, którzy próbują się skontaktować
wiele serwerów. To zachowanie jest charakterystyczne dla najnowszego robaka Microsoft.
Kontakt dscan.suppress.src dscan.suppress.dst
kot przepływowy /przepływy/R | filtr przepływu -P25 | flow-dscan -b
Skorzystaj z przykładów narzędzi przepływu online, korzystając z usług onworks.net