Netflow v9示例

最新推荐文章于 2023-03-13 14:03:17 发布
最新推荐文章于 2023-03-13 14:03:17 发布
阅读量326 收藏
点赞数
文章标签: python
原文链接:https://my.oschina.net/u/180497/blog/150151
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

因工作需要对Netflow v9协议进行了一些分析,其灵活的模板机制令人印象深刻。本着无代码无真相的原则,使用libpcap库做了一个简单的demo示例,其中对Netflow v9中需要获取的信息做了如下定义: 

typedef struct _netflow_v9_record {
	u_int8_t ip_ver;
	union {
		u_int32_t v4_srcaddr;
		struct in6_addr v6_srcaddr;
	} srcaddr;
	union {
		u_int32_t v4_dstaddr;
		struct in6_addr v6_dstaddr;
	} dstaddr;
	union {
		u_int32_t v4_nexthop;
		struct in6_addr v6_nexthop;
	} nexthop;
	u_int32_t orig_pkts;
	u_int32_t orig_bytes;
	u_int32_t reply_pkts;
	u_int32_t reply_bytes;
	u_int32_t first;
	u_int32_t last;
	u_int16_t srcport;
	u_int16_t dstport;
	u_int16_t icmp_type;
	u_int16_t src_vlan;
	u_int16_t dst_vlan;
	u_int8_t src_mac[6];
	u_int8_t dst_mac[6];
	u_int8_t prot;
	u_int8_t tos;
} __attribute__((__packed__)) netflow_v9_record;
仿netfilter-conntrack中tuple机制,做链接管理结构如下(未单独提取tuple): 
struct link_info_t {
	struct hlist_node link;
	netflow_v9_record record;
	/* there will be something else */
};
static struct link_info_t tmp_link;

static struct hlist_head link_table[TABLE_SIZE];

static inline uint16_t hash_ip_port(struct link_info_t link)
{
	return ((link.record.dstaddr.v4_dstaddr ^ link.record.srcaddr.v4_srcaddr) ^ \
		(link.record.dstport ^ link.record.srcport)) & 0x1ffff;
}
因为没有单独将tuple提取出来,且将ORIGINAL与REPLY做为同一个tuple以标示同一条连接,所以对连接的判断和统计繁琐了一些: 
hlist_for_each_entry(cur_link, pos, head, link) {
			if (cur_link->record.srcaddr.v4_srcaddr == tmp_link.record.srcaddr.v4_srcaddr && \
			    cur_link->record.dstaddr.v4_dstaddr == tmp_link.record.dstaddr.v4_dstaddr && \
			    cur_link->record.srcport == tmp_link.record.srcport && \
			    cur_link->record.dstport == tmp_link.record.dstport) {
				cur_link->record.orig_pkts++;
				cur_link->record.orig_bytes += len;
				flag = 1;
				break;
			} else if (cur_link->record.srcaddr.v4_srcaddr == tmp_link.record.dstaddr.v4_dstaddr && \
			    cur_link->record.dstaddr.v4_dstaddr == tmp_link.record.srcaddr.v4_srcaddr && \
			    cur_link->record.srcport == tmp_link.record.dstport && \
			    cur_link->record.dstport == tmp_link.record.srcport) {
				cur_link->record.reply_pkts++;
				cur_link->record.reply_bytes += len;
				flag = 1;
				break;
			}
		}
gen_nfv9模块负责构造、发送数据包,作为示例,仅手工构造了包含两个字段信息的template与数据信息,由lo:9999发送。

(不能添加附件??...:-(...)




转载于:https://my.oschina.net/u/180497/blog/150151

weixin_34062329
关注
网络安全系列-XIV: 基于FCCX15数据集进行网络流量分析示例
penriver的博客
04-16 1246
FCCX15: 数据集来自卡内基梅隆大学软件工程研究所于2015年6月进行的网络演习,用于SiLK的培训,文档,分析测试 Network Traffic Analysis with SiLK Analyst’s Handbook for SiLK Version 3.15.0 and Later, August 2020 (7.4MiB pdf) ,此书介绍分析网络流量的方法,以SiLK工具套件中的命令为例,重点学习识别对网络信息安全至关重要的流量特征。 本文介绍如何使用FCCX 15数据集进行流量分析。
网络安全系列-十六: IPFIX【IP数据流信息输出】消息格式及模板介绍
penriver的博客
04-18 4117
IPFIX: IP Flow Information Export,即P数据流信息输出,它是由IETF公布的用于网络中的流信息测量的标准协议. IPFIX是IETF的一个工作组,它的主要工作就是制订用于IP网络中的流信息测量标准协议,称为IPFIX协议。 IPFIX 定义的格式以Cisco Netflow Version 9数据输出格式作为基础,可使IP流量信息从一个输出器(Exporter)传送到收集器(Collector) 本文针对IPFIX的消息格式及数据模板进行介绍
python实现构造netflow v9格式文件
03-12
python实现构造netflow v9格式文件
Cisco Netflow V9配置模板
carryond10的博客
11-09 675
flow record r1 match ipv4 tos match ipv4 protocol match ipv4 source address match ipv4 destination address match transport source-port match transport destination-port match interface input collect transport tcp flags collect interface output col
netflow v9
weixin_33860722的博客
10-11 670
为什么80%的码农都做不了架构师?>>> ...
netflow_v9详解.pdf
07-03
思科的netflow主要版本有V1、V5、V7、V8、V9,思科的应用范围最广。华为的netstream支持V5、v8和V9两个版本,目前对于国内用户来说netstream V5、V9应用比较多。对于Ipv4的流量既可以使用v5版本进行采集,也可以使用v9版本聚合采集,但是ipv6的流量只能使用V9版本进行采集。以下重点说明思科netflow v5、v9版本和netstream v5、v9版本。
netflow
最新发布
顺其自然~专栏
03-13 900
随着系统的升级与漏洞的修补,入侵主机进而进行破坏的病毒攻击方式在攻击中所占比例逐渐减少,这些攻击转而改为恶意的消耗网络有限的资源或占用系统,进而破坏系统对外提供服务的能力;但传统的系统升级无法检测并预防此类攻击。
NetFlow技术及数据分析应用
NetFlow通过在路由器、交换机等网络设备上进行流量采集和导出,将每个数据包的相关信息(如源IP、目标IP、端口号、协议等)存储到NetFlow记录中。这些记录可以被收集器收集并用于流量分析。 ## 1.3 NetFlow版本及...
RFC3954中文版
06-20
NetFlow v9是该技术的一个版本,它改进了之前版本的功能,并引入了新的特性,如模板化的数据流记录格式,这使得数据收集和分析更加高效。 #### 二、NetFlow v9概述 - **数据输出格式**:NetFlow v9采用了模板化的...
nfexpfv9.pdf
12-02
### NetFlow v9 Export Format详解 #### 一、概述 NetFlow v9是Cisco系统推出的一种灵活且可扩展的数据导出格式,它为支持新字段和记录类型提供了所需的多功能性。这种格式能够适应多种新技术的需求,例如多播...
netflow_v9:生锈的netflow v9数据包解析器
02-04
netflow_v9:生锈的netflow v9数据包解析器
fprobe工具(利用网卡接收到得原始报文生成netflow的工具)
07-20
利用网卡接收到得原始报文生成netflow的工具
开源的NETFLOW分析工具支持v5,v9
10-30
Java Netflow Collect/Analyzer uses pure Java to collect netflow v1 v5 v7 v8 v9 UDP packets from cisco routers. It stores both raw data or analyzed contents to DB thru JDBC and can be used in large enterprises or ISPs. JNC beta is ready JNA is underway. 主题:监控() 编程语言:Java() 界面类型:Java Swing 支持语种:中文简体 操作系统:OS Independent (Written in an interpreted language) 许可类型:Academic Free License (AFL) 适用对象:电信行业 开发状态:4 - Beta版 数据库环境:JDBC
netflow v5/v9 ipfix流生成工具
02-12
netflow v5/v9 ipfix流生成工具
选一款好用的Netflow流量统计分析工具
04-01
最近在试用Netflow流量分析工具,以下几个进入视线
【NetFlow】NetFlow V9协议详细分析
热门推荐
三也_攻城狮
05-09 2万+
无意中发现了一个巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,而且非常风趣幽默,像看小说一样!觉得太牛了,所以分享给大家。点这里可以跳转到教程。 摘自百度百科 Netflow技术最早是于1996年由思科公司的Darren Kerr和Barry Bruins发明的,并于同年5月注册为美国专利,专利号为6,243,667。Netflow技术首先被用于网络设备对数据交...
对netflow v9 协议模板部分的翻译
flyinf_guo的专栏
09-18 1393
Template record—a template record is used to define the format of subsequent data records that may be received in current or future export packets. It is important to note that a template record wi
netflowv9介绍及数据包格式
红梅花儿开
07-09 5069
1,简介netflow是Cisco公司提出的用于描述通过路由器的连接信息的协议。路由器也象防火墙一样不仅仅是按包处理,而是跟踪到连接一层,对属于同一个连接的数据包进行统计,某种程度上也成了状态检测,路由器将这些连接信息使用netflow协议发送到netflow搜集器,根据连接的统计信息可得到网络运行的各种信息,还可用来判断是否受到攻击。netflow已经出过很多版本,目前应用较多的netf
NetFlow V9协议解析使用教程(二)-配置,采集,处理NetFlow
u011311291的博客
05-28 3884
一.实践环境 1.不是每一台交换机或者路由器都支持Netflow,如果不支持可以使用Fprobe监听流量,生成Netflow 2.采用的是中兴路由器,其它路由器如何设置要看它的用户手册了,但这里提供思路参考 比如现在想监听路由器1网口的双向流量,然后将NetFlow发往某个可达到的IP地址(例子:192.168.20.12) 中兴路由器配置如下: 二.采集NetFlow数据包 1.路由器发送Net...
Netflow V9报文格式详解
"这篇文档是关于Netflow报文格式V9版本的中文翻译,由goldeyes根据原始的RFC3954翻译,旨在帮助读者理解Netflow V9的工作原理和格式,适用于网络流量的收集和分析。文档涵盖了包头、报文和模板的详细结构,以及IP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值