網路流量監控
早先都是使用cacti撘配flowview,勘用,但總是用的很不順手,之後測了好多種不同的,像是opennms、Icinga、Munin、Zabbix,功能都不會差太多,但最近發現一個Observium,裝起來不會太複雜,且裡面的各項流量圖的放置邏輯不像是Cacti那樣奇怪,效能也還不錯,唯一最大的問題就是要加設備不能只用IP要有DNS,這點很麻煩,有些網路設備沒給DNS,就不能加,所以最後很蠢的在hosts檔案內加。
它內建了許多cacti要額外裝plug-in的東西,不過彈性是真的沒cacti高,畢竟cacti已經發展很久了,所以資源多吧。
此外要另外談一下Nfsen跟Nfdump,這兩個搭配起來,對於netflow的分析真的是如虎添翼,先來談談怎快速過濾出有問題的封包,舉kmplayer的Padora TV對111.111.111.111的封包為例:
原本單位的core switch中已對111.111.111.111直接阻斷,但近日佈署Nfsen後先分析封包,發現80 port很多,但80很多是很正常,當時只單純好奇想知道往下追是去哪時,發現有去111.111.111.111,但這點就奇怪了,既然已阻斷怎還會出現?
所以就開始追蹤哪些IP繞過core的acl了!
1.最一開始想找哪些封包佔大多數,其它port分析後沒啥大問題,所以想說看看80呢?
2. 透過detail找到哪個ip用80 port最多,結果就發現是 111.111.111.111
3.那又是誰跟111.111.111.111通訊呢?不是已經阻斷了嗎?透過增加filter的參數來過濾,結果發現是10.10.x.x,嘿嘿抓到你了吧!結果真相大白,單位的無線連線,因為單位的無線會透過加密通道回到更上一層單位的無線控制器,所以出去的封包並沒有真的過core,接下來就是封殺它囉。
4.經過補強後,果然就再也沒看到跟111.111.111.111有關的了LOL
它內建了許多cacti要額外裝plug-in的東西,不過彈性是真的沒cacti高,畢竟cacti已經發展很久了,所以資源多吧。
此外要另外談一下Nfsen跟Nfdump,這兩個搭配起來,對於netflow的分析真的是如虎添翼,先來談談怎快速過濾出有問題的封包,舉kmplayer的Padora TV對111.111.111.111的封包為例:
原本單位的core switch中已對111.111.111.111直接阻斷,但近日佈署Nfsen後先分析封包,發現80 port很多,但80很多是很正常,當時只單純好奇想知道往下追是去哪時,發現有去111.111.111.111,但這點就奇怪了,既然已阻斷怎還會出現?
所以就開始追蹤哪些IP繞過core的acl了!
1.最一開始想找哪些封包佔大多數,其它port分析後沒啥大問題,所以想說看看80呢?
2. 透過detail找到哪個ip用80 port最多,結果就發現是 111.111.111.111
3.那又是誰跟111.111.111.111通訊呢?不是已經阻斷了嗎?透過增加filter的參數來過濾,結果發現是10.10.x.x,嘿嘿抓到你了吧!結果真相大白,單位的無線連線,因為單位的無線會透過加密通道回到更上一層單位的無線控制器,所以出去的封包並沒有真的過core,接下來就是封殺它囉。
4.經過補強後,果然就再也沒看到跟111.111.111.111有關的了LOL
參考資料:
http://nfdump.sourceforge.net/
留言
張貼留言