UAVpilot

Отправил 30-секундный дамп, ~20MB. :)

Да, в понедельник или вторник организую. Это да. Но было-бы логичнее ещё и из fastnetmon.dat выкинуть показ того, что не считается. :) Я думаю на первое время достаточно будет банальных число, месяц, год, номер дня недели, часы минуты секунды, ну и ip. :) Например я для подобных случаев люблю задавать пути типа "/var/log/fastnetmon_attacks/%Y/%m/%d/%H:%M:%S-%i". В идеале конечно было-бы замечательно повторить формат команды date, %i - ip. Но приоритет этого крайне низкий, т.к. несложно реализуется внутри скрипта notify_script_path

Извиняюсь, выпал на некоторе время в отпуск. :) netflow генерит Cisco C7606 (nfdump считает трафик правильно). fastnetmon работает на 64-биной машине. И если позволите несколько пожеланий: 1. Хотелось-бы иметь промежуточные итоги по интерфейсам в случае работы с несколькими сетевыми интерфейсами (в netflow есть id интерфейса). Это было-бы полезно при наличии нескольких каналов разной ёмкости. Например у меня скачёк входящего трафика на 1Gbit/s на некоторых считается серьёзной перегрузкой, а на других практически незаметен. 2. Возможность отключить в fastnetmon_client (fastnetmon.dat) показ входящего и исходящего трафика. Например меня совершенно не интересует исходящий трафик в fastnetmon. :) 3. Возможность задавать формат файлов в /var/log/fastnetmon_attacks, например чтобы дату поставить перед адресом для удобства сортировки. Или даже чтоб можно было делать подкаталоги по датам или по ip. Последние два пункта не существенны т.к. в принцие решаются внешними средствами. P.S. Спасибо за fastnetmon! :) Upd: поставил 1.1.3 - Other Tarffic стал походить на правду.

Попробовал netflow_sampling_ratio и на маршрутизаторе пробовал менять тип семплирования - пофиг. Попробовал выключить семплирование - байтики появились Однако есть сомнения по прочему трафику: Other traffic 48982526762 pps 377315 mbps При реальном трафике примерно на порядок меньшем (in+out). Но в данном случае это не принципиально, как-нибудь на досуге проверю. Спасибо!

netflow v9. Семплированный, во всяком случае PRTG байтики считает. upd: для проверки направил его на nfcapd - байты считает. Date flow start Duration Proto Src IP Addr:Port Dst IP Addr:Port Packets Bytes Flows 2015-06-19 16:01:48.636 0.000 UDP 69.116.224.174:27032 -> XX.XXX.206.70:53 1 80 1 2015-06-19 16:01:48.636 0.000 TCP 83.216.94.69:57208 -> XX.XXX.207.71:80 1 48 1 2015-06-19 16:01:48.684 0.000 UDP 121.94.103.218:22680 -> XX.XXX.208.94:53 1 79 1 2015-06-19 16:01:48.684 0.000 UDP 115.140.206.163:46013 -> XX.XXX.208.94:53 1 79 1 2015-06-19 16:01:48.700 0.000 UDP 91.136.113.171:9917 -> XX.XXX.208.94:53 1 75 1 2015-06-19 16:01:48.700 0.000 UDP 86.77.240.25:39605 -> XX.XXX.208.94:53 1 75 1 2015-06-19 16:01:48.724 0.000 UDP 105.50.181.33:34183 -> XX.XXX.208.143:53 1 65 1 2015-06-19 16:01:48.724 0.000 TCP 88.192.240.215:24108 -> XX.XXX.207.49:80 1 60 1 2015-06-19 16:01:48.776 0.000 UDP 17.26.99.230:33818 -> XX.XXX.208.94:53 1 67 1 2015-06-19 16:01:48.812 0.000 UDP 124.232.142.220:49078 -> XX.XXX.116.204:53 1 58 1 2015-06-19 16:01:48.856 0.000 UDP 71.28.34.53:44653 -> XX.XXX.208.143:53 1 79 1 2015-06-19 16:01:48.936 0.000 UDP 128.10.143.157:36275 -> XX.XXX.206.70:53 1 72 1 2015-06-19 16:01:48.948 0.000 TCP 88.192.240.215:24109 -> XX.XXX.207.49:80 1 60 1 2015-06-19 16:01:48.972 0.000 TCP 198.100.145.72:80 -> XX.XXX.116.145:65515 1 44 1 2015-06-19 16:01:43.328 5.804 TCP 14.201.190.97:53031 -> XX.XXX.207.49:80 6 384 1 2015-06-19 16:01:58.424 0.092 TCP 164.0.124.210:37237 -> XX.XXX.207.49:80 2 100 1

Это я уже факультативно пробовал. Если я правильно понял вашу программу, то в случае netflow она просто слушает порт 2055 на всех интерфейсах (0.0.0.0:2055) и параметр interfaces на это не влияет. :) Но таки раскоментировал и перезапустил - всё по прежнему, считает только pps и flows, mbps по нулям.

Павел, у меня аналогичная проблема: Поставил на CentOS 7 из RPM. Конфиг: enable_ban = on ban_time = 1900 ban_for_pps = on ban_for_bandwidth = on ban_for_flows = on threshold_pps = 20000 threshold_mbps = 1000 threshold_flows = 3500 ban_details_records_count = 500 check_period = 1 sort_parameter = packets redis_host = 127.0.0.1 max_ips_in_list = 7 notify_script_path = /usr/local/bin/notify_about_attack.sh redis_enabled = no #interfaces = eno16777728 netflow = on netflow_port = 2055 netflow_host = 0.0.0.0 sflow = off mirror = off mirror_netmap = off pcap = off average_calculation_time = 5 average_calculation_time_for_subnets = 20 enable_connection_tracking = on enable_pf_ring_zc_mode = off process_incoming_traffic = on process_outgoing_traffic = on networks_list_path = /etc/fastnetmon.nets enable_subnet_counters = on print_average_traffic_counts = off Показывает pps и flows, mbps по нулям. :( P.S. Ещё обнаружил, что игнорируется параметр networks_list_path - чтобы там небыло написано всегда ищет только /etc/networks_list