Задать вопрос

Как анализировать содержимое пакетов используя NetFlow?

Исходная задача - анализировать содержимое трафика удалённо с маршрутизатора Сisco.
Нагуглил, что Сisco может записывать в pcap-формат в используя capture (начиная с какой-то версии IOS) в файл локально, или netflow на удалённый коллектор
Заинтересовался технологией netflow.
Пока Сisco нет, тренируюсь на Mikrotik, выбрал netflow v9. Коллектор и анализатор - на Ubuntu 14.04. Но пока мне удаётся записывать только заголовки пакетов, а не все их содержимое. Пытался использовать nfcapd+nfdump и ещё нагуглил
tcpdump -n -s 0 -vvv port 2055
Но всё равно вижу только заголовки, а не весь пакет. Как решить проблему?
  • Вопрос задан
  • 3993 просмотра
Подписаться 2 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 3
@peronik
Что именно вы хотите вытащить из пакета?
Netflow позволяет получать
  • Source and destination IP address
  • Input and output interface number
  • Source and destination port number
  • Layer 4 Protocol
  • Number of packets in the flow
  • Total Bytes in the flow
  • Time stamp in the flow
  • Source and destination AS
  • TCP_Flag & TOS

Скорее всего вам нужно смотреть на настройку Port Monitoring (SPAN) на Cisco и соответственно софт, который сможет с ним работать.
Ответ написан
Комментировать
vman
@vman
Netflow используется для анализа трафика который был передан от одного устройства другому, сами данные в нем не учитываются. Для анализа самого трафика проходящего через роутер надо зеркалировать трафик см. www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_...

imho если есть возможность сделать это на коммутаторе (через span), лучше делать на нем.
Ответ написан
Комментировать
@dubidrubi
Какова конечная цель? Если это вопрос безопасности - то Cisco ASA умеет заглядывать в payload пакета. Можно настроить необходимые прикладные политики и радоваться жизни. Конкретизируйте задачу и помочь Вам будет легче...
Кстати embedded packet capture позволяет хранить pcap не только локально, но и централизовано сохранять по протоколам tftp, ftp, http/https, scp. Только учтите, что этот функционал дополнительно нагрузит CPU Вашей железки.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы