Как анализировать содержимое пакетов используя NetFlow?

Question

[Игорь]

Исходная задача - анализировать содержимое трафика удалённо с маршрутизатора Сisco.
Нагуглил, что Сisco может записывать в pcap-формат в используя capture (начиная с какой-то версии IOS) в файл локально, или netflow на удалённый коллектор
Заинтересовался технологией netflow.
Пока Сisco нет, тренируюсь на Mikrotik, выбрал netflow v9. Коллектор и анализатор - на Ubuntu 14.04. Но пока мне удаётся записывать только заголовки пакетов, а не все их содержимое. Пытался использовать nfcapd+nfdump и ещё нагуглил
tcpdump -n -s 0 -vvv port 2055
Но всё равно вижу только заголовки, а не весь пакет. Как решить проблему?

Answer 1

[peronik]

Что именно вы хотите вытащить из пакета?
Netflow позволяет получать

• Source and destination IP address
• Input and output interface number
• Source and destination port number
• Layer 4 Protocol
• Number of packets in the flow
• Total Bytes in the flow
• Time stamp in the flow
• Source and destination AS
• TCP_Flag & TOS

Скорее всего вам нужно смотреть на настройку Port Monitoring (SPAN) на Cisco и соответственно софт, который сможет с ним работать.

Answer 2

[vman]

Netflow используется для анализа трафика который был передан от одного устройства другому, сами данные в нем не учитываются. Для анализа самого трафика проходящего через роутер надо зеркалировать трафик см. www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_...

imho если есть возможность сделать это на коммутаторе (через span), лучше делать на нем.

Answer 3

[dubidrubi]

Какова конечная цель? Если это вопрос безопасности - то Cisco ASA умеет заглядывать в payload пакета. Можно настроить необходимые прикладные политики и радоваться жизни. Конкретизируйте задачу и помочь Вам будет легче...
Кстати embedded packet capture позволяет хранить pcap не только локально, но и централизовано сохранять по протоколам tftp, ftp, http/https, scp. Только учтите, что этот функционал дополнительно нагрузит CPU Вашей железки.

Comments

[Игорь]

цель - в первую очередь - дебаг (траблшутинг).
периодически при траблшутинге нужно проверять не только сам факт наличия пакетов, но и их содержимое
В Mikrotik чтоб посмотреть какой трафик идёт через устройство очень удобно использовать packet sniffer + wireshark (www.nasa-security.net/mikrotik/mikrotik-packet-sniffer/)
Я просто указываю в настройках Mikrotik на какой IP перенаправлять трафик, попадающий под правило отбора, и на этом IP в режиме реального времени в wireshark вижу всё что мне нужно
Хотелось бы иметь такой же функционал и в Cisco