模拟netflow | 阿小信的博客
阿小信大人的头像
做你说过的,说你能做的 阿小信大人

模拟netflow2018-03-05 20:52

数据源

使用NetFlow-Generator模拟生成netflow v5数据并发送到指定的collector

克隆NetFlow-Generator后,在其目录执行make即可生成一个flowgen可执行文件

启动flowgen产生netflow数据并上报的指定地址

./flowgen -h
Usage: flowgen [options] [flowrec-options] <collector>
 options:
   -n, --count <num>
   -p, --port <num>
   -V, --version <version>
   -f, --flowrec <# of flow records in packet>
   -d, --debug <debug level>
   -N, --nosend
   -h, --help
 flowrec-options:
   -w, --wait <wait time>
   -i, --interval <interval>
   --enginetype <engine type>
   --engineid <engine id>
   --srcaddr <src ip address>
   --dstaddr <dst ip address>
   --nexthop <nexthop ip address>
   --inputif <input IfIndex>
   --outputif <output IfIndex>
   --packets <# of packets>
   --octets <# of octets>
   --firstseen <first seen>
   --lastseen <last seen>
   --srcport <src port>
   --dstport <dst port>
   --tcpflags <tcp flags>
   --protocol <protocol number>
   --tos <tos value>
   --srcas <src AS#>
   --dstas <dst AS#>
   --srcmask <src subnet mask length>
   --dstmask <dst subnet mask length>

  Numbers can be expressed using the following meta characters:
111      (static)
111-222  (sequential)
111:222  (random)
100@70,200@20,300@10   (probabilistic)

./flowgen -i 5 -w 1000 -p 2055 IP

解析数据

使用nfdump接收并解析netflow上报的数据

安装nfdump

yum install nfdump

运行接收上报数据的nfcapd进程

nfcapd -w -l . -p 2055

运行一段时间后会在.目录生成nfcapd.201803052035类似的文件

使用nfdump解析:

nfdump -r nfcapd.201803061430 -c 2 'src ip 10.0.0.205'
nfdump -r nfcapd.201803061430 'ip 20.0.0.205 and proto tcp'
nfdump -r nfcapd.201803061430 -o extended -s srcip -s ip/flows -s dstport/pps/packets/bytes -s record/bytes

如果您觉得从我的分享中得到了帮助,并且希望我的博客持续发展下去,请点击支付宝捐赠,谢谢!

若非特别声明,文章均为阿小信的个人笔记,转载请注明出处。文章如有侵权内容,请联系我,我会及时删除。

#Linux/Mac#  
分享到:
阅读[404] 评论[0]

你可能也感兴趣的文章推荐

本文最近访客

网友46.*.*.67[Ashburn]2018-08-21 08:11
网友46.*.*.83[火星]2018-08-21 07:59
网友46.*.*.69[Ashburn]2018-08-21 07:50
网友46.*.*.72[Ashburn]2018-08-21 07:44

发表评论