[Ilya Evseev]

Есть виртуалка на основе OpenVZ в OVH.

Подскажите Netflow сенсор.

Скорее всего, любой, умеющий работать через libpcap: softflowd, fprobe, pmacct, ipcad, ndsad, netams flowprobe и т.д.

 

softflowd -i venet0 -n 127.0.0.1:9996

 

Производительность будет посредственной, естественно.

 

(вообще для темы про ipt_netflow этот вопрос имхо оффтоп, имело смысл создать отдельную)

[pavel.odintsov]

Что-либо с поддержкой AF_PACKET может дать отличную скорость захвата даже внутри OpenVZ VPS, но навскидку такой софт не приведу.

[vlad11]

Есть виртуалка на основе OpenVZ в OVH.

Подскажите Netflow сенсор.

Скорее всего, любой, умеющий работать через libpcap: softflowd, fprobe, pmacct, ipcad, ndsad, netams flowprobe и т.д.

 

Вы путаете сенсор, коллектор и анализатор netflow.

 

softflowd -i venet0 -n 127.0.0.1:9996

 

Производительность будет посредственной, естественно.

 

Буду пробовать.

 

(вообще для темы про ipt_netflow этот вопрос имхо оффтоп, имело смысл создать отдельную)

 

А мне вот не понятно, зачем нужен отдельный модуль ядра?

[NiTr0]

А мне вот не понятно, зачем нужен отдельный модуль ядра?

Чтобы трафик не гнать в юзерспейс же. Или есть альтернативы анализа трафика без переключения контекста?

[VVSina]

сейчас начнётся свалка про PF_RING и LIBZERO

[Megas]

не увидил сходу, а кто сколько максимум проварил на ipt_netflow ?

[Ilya Evseev]

Есть виртуалка на основе OpenVZ в OVH.

Подскажите Netflow сенсор.

Скорее всего, любой, умеющий работать через libpcap: softflowd, fprobe, pmacct, ipcad, ndsad, netams flowprobe и т.д.

 

Вы путаете сенсор, коллектор и анализатор netflow.

Не путаю. Всё перечисленное является либо сенсорами (probe), либо универсальными программами, умеющими в т.ч. работать как сенсор.

[pavel.odintsov]

PF_RING и прочие не из этой серии. Если Вы хотите, чтобы машина умела ТОЛЬКО_РАБОТАТЬ_АГЕНТОМ_ФЛОУ - вперед, тогда PF_RING ZC / NETMAP / DPDK - рулят. Но если хочется, чтобы машина умела еще что-нить бесполезное - типа роутинга, ната и шейпинга - ядерный модуль безальтернативен.

 

 

А я бы риквестовал поддержку sFLOW v5. Я, конечно, понимаю, что оно не из той серии вообще. Но оно не имеет ряда проблем, что есть у NetFlow - оверхеда на трекинг сессий, оверхеда на поддержку довольно тяжелого протокола (netflow v9 + ipfix) и что наиболее важно для меня - не имеет никакой задержки вообще, трафик поступает мгновенно и можно предпринимать действия.

 

Кроме того, sFLOW очень круто себя показывает для выявления атак, именно по причине отсутствия латенси и серьезной перегрузки оборудования.

Изменено 14 июня, 2015 пользователем pavel.odintsov

[hsvt]

Я бы хотел попробовать ipt_netflow заместо fprobe-ulog на Debian wheezy 7.8 3.2.0-4-amd64, если сейчас соберу из исходников - будет ли работать при обновлении на Jessie ? Или обязательно нужен dkms ? Мне нужно направить поток на коллектор от LANBilling (NETFlow слушает UDP 7223) то есть я вписываю в netflow.conf ipt_NETFLOW destination=127.0.0.1:7223 ну и iptables правила?

[SyJet]

Что лучше этот модуль или nProbe (вопрос не касается денег)?

[Ilya Evseev]

Я бы хотел попробовать ipt_netflow заместо fprobe-ulog на Debian wheezy 7.8 3.2.0-4-amd64, если сейчас соберу из исходников - будет ли работать при обновлении на Jessie ? Или обязательно нужен dkms ?

Нужен dkms.

 

Мне нужно направить поток на коллектор от LANBilling (NETFlow слушает UDP 7223) то есть я вписываю в netflow.conf ipt_NETFLOW destination=127.0.0.1:7223 ну и iptables правила?

Да. netflow.conf должен находиться в /etc/modprobe.d/

[hsvt]

Я бы хотел попробовать ipt_netflow заместо fprobe-ulog на Debian wheezy 7.8 3.2.0-4-amd64, если сейчас соберу из исходников - будет ли работать при обновлении на Jessie ? Или обязательно нужен dkms ?

Нужен dkms.

 

Мне нужно направить поток на коллектор от LANBilling (NETFlow слушает UDP 7223) то есть я вписываю в netflow.conf ipt_NETFLOW destination=127.0.0.1:7223 ну и iptables правила?

Да. netflow.conf должен находиться в /etc/modprobe.d/

 

Спасибо, да, уже чуть-чуть разобрался. А то текущий fprobe-ulog как то больше грузит цпу при отправке.

[aabc]

Что лучше этот модуль или nProbe (вопрос не касается денег)?

 

Смотря какие цели. В nProbe есть DPI, в ipt-netflow интеграция с iptables. В nProbe дополнительно есть функционал коллектора и proxy. В ipt-netflow есть функционал NEL. В nProbe есть интеграция с BGP (через перл скрипты). В ipt-netflow есть актуальный nexthop, физ. интерфейс для бриджей (так как в ядре есть доступ к этой информации).

Изменено 2 июля, 2015 пользователем aabc

[NiTr0]

пробовал собрать под свежее 4.1 - не собирается...

[NiTr0]

В общем что-то типа такого нужно для свежих ядер (насчет версии не уверен, скорее - где-то с 3.19 или 4.0 __get_cpu_var возвращает не то), хотя, возможно, и для всех ядер стоило бы заменить __get_cpu_var на this_cpu_ptr). С такой правкой уже собирается, но работу не тестировал (стенда нет).

 

--- ipt-netflow-2.1/ipt_NETFLOW.h	2015-02-08 21:39:27.000000000 +0200
+++ ipt-netflow-2.1.new/ipt_NETFLOW.h	2015-07-18 14:05:45.737635510 +0300
@@ -394,28 +394,34 @@
	__u16 aggr_port;
};

-#define NETFLOW_STAT_INC(count) (__get_cpu_var(ipt_netflow_stat).count++)
-#define NETFLOW_STAT_ADD(count, val) (__get_cpu_var(ipt_netflow_stat).count += (unsigned long long)val)
-#define NETFLOW_STAT_SET(count, val) (__get_cpu_var(ipt_netflow_stat).count = (unsigned long long)val)
+#if LINUX_VERSION_CODE < KERNEL_VERSION(4, 1, 0)
+#define NETFLOW_STAT_PERCPU(count) __get_cpu_var(ipt_netflow_stat).count
+#else
+#define NETFLOW_STAT_PERCPU(count) this_cpu_ptr(&ipt_netflow_stat)->count
+#endif
+
+#define NETFLOW_STAT_INC(count) NETFLOW_STAT_PERCPU(count)++
+#define NETFLOW_STAT_ADD(count, val) (NETFLOW_STAT_PERCPU(count) += (unsigned long long)val)
+#define NETFLOW_STAT_SET(count, val) (NETFLOW_STAT_PERCPU(count) = (unsigned long long)val)
#define NETFLOW_STAT_TS(count)							 \
	do {									 \
		ktime_t kts = ktime_get_real();					 \
-		if (!(__get_cpu_var(ipt_netflow_stat)).count.first.tv64)	 \
-			__get_cpu_var(ipt_netflow_stat).count.first = kts;	 \
-		__get_cpu_var(ipt_netflow_stat).count.last = kts;		 \
+		if (!NETFLOW_STAT_PERCPU(count).first.tv64)	 \
+			NETFLOW_STAT_PERCPU(count).first = kts;	 \
+		NETFLOW_STAT_PERCPU(count).last = kts;		 \
	} while (0);

#define NETFLOW_STAT_INC_ATOMIC(count)				\
	do {							\
		preempt_disable();				\
-		(__get_cpu_var(ipt_netflow_stat).count++);	\
+		NETFLOW_STAT_INC(count);			\
		preempt_enable();				\
	} while (0);

#define NETFLOW_STAT_ADD_ATOMIC(count, val)			\
	do {							\
		preempt_disable();				\
-		(__get_cpu_var(ipt_netflow_stat).count += (unsigned long long)val); \
+		NETFLOW_STAT_ADD(count, val)			\
		preempt_enable();				\
	} while (0);
#define NETFLOW_STAT_READ(count) ({					\

[aabc]

NiTr0

Так вроде поддержка этого давно есть в гит: https://github.com/aabc/ipt-netflow/commit/582fd497a5f

[NiTr0]

Хм, таки да, сейчас каррент собрался, до того - не хотел...

[Susanin]

Добрый день.

Настроил у себя модуль на Centos 6 с включенныv NAT. Данные собираю с помощью nfsen. Как объяснить такие странное поведение:

** nfdump -M /usr/local/nfsen/profiles-data/live/nat_linux  -T  -r 2015/11/27/nfcapd.201511271640 -c 50
nfdump filter:
any
Date first seen          Event  XEvent Proto      Src IP Addr:Port          Dst IP Addr:Port     X-Src IP Addr:Port        X-Dst IP Addr:Port   In Byte Out Byte
2015-11-27 16:39:44.804 IGNORE  Ignore TCP       95.213.9.198:80    ->     х.х.17.22:52758          0.0.0.0:0     ->          0.0.0.0:0        46366        0
2015-11-27 16:39:35.957 IGNORE  Ignore TCP       х.х.29.55:57292 ->   88.200.234.164:6881           0.0.0.0:0     ->          0.0.0.0:0          152        0
2015-11-27 16:39:23.972 IGNORE  Ignore TCP     149.202.17.160:10000 ->     х.х.26.15:10877          0.0.0.0:0     ->          0.0.0.0:0          176        0
2015-11-27 16:39:44.944 IGNORE  Ignore TCP       х.х.15.99:57256 ->      185.5.160.8:80             0.0.0.0:0     ->          0.0.0.0:0           80        0
2015-11-27 16:39:44.983 IGNORE  Ignore UDP       213.81.86.16:14189 ->     х.х.12.14:61809          0.0.0.0:0     ->          0.0.0.0:0         1155        0
2015-11-27 16:39:44.792 IGNORE  Ignore TCP       х.х.17.22:52761 ->     95.213.9.138:80             0.0.0.0:0     ->          0.0.0.0:0          912        0
2015-11-27 16:39:44.961 IGNORE  Ignore TCP    178.154.131.216:80    ->     х.х.29.77:49668          0.0.0.0:0     ->          0.0.0.0:0         2182        0
2015-11-27 16:39:44.834 IGNORE  Ignore TCP       95.213.5.244:80    ->     х.х.17.22:52763          0.0.0.0:0     ->          0.0.0.0:0        34302        0
2015-11-27 16:39:44.929 IGNORE  Ignore TCP      184.86.50.164:80    ->       х.х.3.2:59444          0.0.0.0:0     ->          0.0.0.0:0         4881        0
2015-11-27 16:39:59.976 IGNORE  Ignore UDP       х.х.30.21:19738 ->     37.21.66.241:10354    y.y.49.120:1     ->     37.21.66.241:68           0        0
2015-11-27 16:39:59.976 IGNORE  Ignore UDP       х.х.30.21:19738 ->      212.94.8.31:54338    y.y.49.120:1     ->      212.94.8.31:68           0        0
2015-11-27 16:39:59.976 IGNORE  Ignore UDP       х.х.30.21:19738 ->   37.214.174.162:63684    y.y.49.120:1     ->   37.214.174.162:68           0        0
2015-11-27 16:39:59.978 IGNORE  Ignore TCP       х.х.37.46:62346 ->  105.105.187.188:27759    y.y.49.126:1     ->  105.105.187.188:68           0        0
2015-11-27 16:39:59.978 IGNORE  Ignore UDP       х.х.30.21:19738 ->    213.24.127.12:2796     y.y.49.120:1     ->    213.24.127.12:68           0        0
2015-11-27 16:39:59.978 IGNORE  Ignore UDP       х.х.30.21:19738 ->    37.79.248.189:50049    y.y.49.120:1     ->    37.79.248.189:68           0        0
2015-11-27 16:39:59.978 IGNORE  Ignore UDP       х.х.30.21:19738 ->      2.132.216.3:22277    y.y.49.120:1     ->      2.132.216.3:68           0        0
2015-11-27 16:39:59.981 IGNORE  Ignore UDP       х.х.30.21:19738 ->     46.172.80.19:32138    y.y.49.120:1     ->     46.172.80.19:68           0        0
2015-11-27 16:39:59.981 IGNORE  Ignore UDP       х.х.30.21:19738 ->   10.177.166.164:56074    y.y.49.120:1     ->   10.177.166.164:68           0        0
2015-11-27 16:39:59.981 IGNORE  Ignore TCP       х.х.30.21:64822 ->   90.151.149.129:64726    y.y.49.120:1     ->   90.151.149.129:68           0        0
2015-11-27 16:39:59.981 IGNORE  Ignore TCP       х.х.30.21:64823 ->   92.240.211.148:20655    y.y.49.120:1     ->   92.240.211.148:68           0        0
2015-11-27 16:39:59.988 IGNORE  Ignore TCP       х.х.23.25:52104 ->   94.231.132.213:6881     y.y.49.120:1     ->   94.231.132.213:68           0        0
2015-11-27 16:39:59.989 IGNORE  Ignore UDP         х.х.1.5:42702 ->    93.186.238.24:53        y.y.49.96:1     ->    93.186.238.24:56           0        0
2015-11-27 16:39:44.960 IGNORE  Ignore TCP       х.х.29.77:49668 ->  178.154.131.216:80             0.0.0.0:0     ->          0.0.0.0:0          510        0
2015-11-27 16:39:44.999 IGNORE  Ignore UDP        217.29.76.4:53    ->       х.х.1.5:34893          0.0.0.0:0     ->          0.0.0.0:0          143        0
2015-11-27 16:39:36.964 IGNORE  Ignore TCP      184.86.50.164:80    ->     х.х.15.99:57381          0.0.0.0:0     ->          0.0.0.0:0          160        0
2015-11-27 16:39:41.989 IGNORE  Ignore TCP       х.х.13.66:51194 ->    52.25.254.242:80             0.0.0.0:0     ->          0.0.0.0:0          180        0
2015-11-27 16:39:44.999 IGNORE  Ignore UDP        217.29.76.4:53    ->       х.х.1.5:48296          0.0.0.0:0     ->          0.0.0.0:0          171        0
2015-11-27 16:39:44.992 IGNORE  Ignore ICMP        х.х.1.5:0     ->      23.79.189.4:0.0            0.0.0.0:0     ->          0.0.0.0:0           80        0
2015-11-27 16:39:44.999 IGNORE  Ignore UDP        217.29.76.4:53    ->       х.х.1.5:64237          0.0.0.0:0     ->          0.0.0.0:0          171        0
2015-11-27 16:39:45.000 IGNORE  Ignore UDP       х.х.12.14:61809 ->   31.135.144.199:22215          0.0.0.0:0     ->          0.0.0.0:0          143        0
2015-11-27 16:39:44.986 IGNORE  Ignore ICMP      89.70.67.210:0     ->     х.х.23.25:3.3            0.0.0.0:0     ->          0.0.0.0:0          159        0
2015-11-27 16:39:45.000 IGNORE  Ignore UDP       х.х.12.14:61809 ->     59.94.35.195:12637          0.0.0.0:0     ->          0.0.0.0:0          143        0
2015-11-27 16:39:44.999 IGNORE  Ignore UDP        217.29.76.4:53    ->       х.х.1.5:42208          0.0.0.0:0     ->          0.0.0.0:0          143        0
2015-11-27 16:39:44.998 IGNORE  Ignore UDP       х.х.12.14:61809 ->    90.214.49.231:13285          0.0.0.0:0     ->          0.0.0.0:0          143        0
2015-11-27 16:39:44.871 IGNORE  Ignore TCP         х.х.3.2:59444 ->    184.86.50.164:80             0.0.0.0:0     ->          0.0.0.0:0          791        0

Т.е. в строках. где указан NAT IP нет показаний трафика. Где трафик - там нет NAT_IP.

 

При этом на этом-же хосте с nfsen собираются данные с микротика. И там в одной строке и NAT IP и данные по трафику.

 

Куда копать ?

[pppoetest]

Версия нетфлоу небось пятая?

   * NAT translations events (from conntrack) using NetFlow Event Logging (NEL).
    This is standardized way for v9/IPFIXr, but module export such events even
    for v5 collectors via specially crafted pseudo-records.

      For NetFlow v5 protocol meaning of fields in dummy flows are such:
        Src IP, Src Port  is Pre-nat source address.
        Dst IP, Dst Port  is Post-nat destination address.
          - These two fields made equal to data flows catched in FORWARD chain.
        Nexthop, Src AS  is Post-nat source address for SNAT. Or,
        Nexthop, Dst AS  is Pre-nat destination address for DNAT.
        TCP Flags is SYN+SCK for start event, RST+FIN for stop event.
        Pkt/Traffic size is 0 (zero), so it won't interfere with accounting.

[Susanin]

Нет, 9

$ cat /proc/net/stat/ipt_netflow
ipt_NETFLOW 2.1, srcversion 58A0CDB87535BC3F8E93944; llist nel
Protocol version 9 (netflow), refresh-rate 20, timeout-rate 30, (templates 37, active 10).
Timeouts: active 1800s, inactive 15s. Maxflows 2000000
Natevents enabled, count start 2255735061, stop 2255672913.
Flows: active 27545 (peak 109374 reached 7d21h44m ago), mem 9423K, worker delay 20/1000 [1..100] (15 ms, 0 us, 273:0 0 [cpu1]).
Hash: size 655360 (mem 5120K), metric 1.02 [1.00, 1.00, 1.00]. InHash: 25846277 pkt, 19815029 K, InPDU 68, 30183.
Rate: 371185380 bits/sec, 58388 packets/sec; Avg 1 min: 370301655 bps, 57970 pps; 5 min: 384122648 bps, 59441 pps
cpu#     pps; <search found new [metric], trunc frag alloc maxflows>, traffic: <pkt, bytes>, drop: <pkt, bytes>
Total  58388; 8031021469 260684955165 6738876342 [242.50],    0    0    0    0, traffic: 267423831507, 210429102 MB, drop: 0, 0 K
cpu0       0; 125002 895271   2323 [1.00],    0    0    0    0, traffic: 897594, 2206 MB, drop: 0, 0 K
cpu1     103; 306707 5418450   2452 [1.00],    0    0    0    0, traffic: 5420902, 7498 MB, drop: 0, 0 K
cpu2   27083; 3369184976 107880480402 3305855162 [1.00],    0    0    0    0, traffic: 111186335564, 32444048 MB, drop: 0, 0 K
cpu3   31202; 4661404784 152798161042 3433016405 [1.00],    0    0    0    0, traffic: 156231177447, 177975348 MB, drop: 0, 0 K
Export: Rate 110361 bytes/s; Total 328179411 pkts, 438515 MB, 11251223097 flows; Errors 7289 pkts; Traffic lost 3622282 pkts, 2975984 Kbytes, 221934 flows.
sock0: 172.20.1.18:9995, sndbuf 4194394, filled 1, peak 394265; err: sndbuf reached 0, connect 0, cberr 194593, other 1148

Если переключить на 5, то вообще всегда поле NAT в нулях.

[aabc]

Т.е. в строках. где указан NAT IP нет показаний трафика. Где трафик - там нет NAT_IP.

Есть обычный NetFlow и NAT Events (NEL).

В обычном NetFlow - данные по трафику (на основе данных из IP пакетов, у IP пакета всего 2 адреса - src и dst).

В NEL - события (events) о начале и конце NAT-ирования, трафика там нет.

 

При этом на этом-же хосте с nfsen собираются данные с микротика. И там в одной строке и NAT IP и данные по трафику. Куда копать ?

 

Я не знаю что там шлёт Микротик, скорее всего они нарушают RFC или придумали расширение.

Изменено 27 ноября, 2015 пользователем aabc

[Sonne]

Т.е. в строках. где указан NAT IP нет показаний трафика. Где трафик - там нет NAT_IP.

Есть обычный NetFlow и NAT Events (NEL).

В обычном NetFlow - данные по трафику (на основе данных из IP пакетов, у IP пакета всего 2 адреса - src и dst).

В NEL - события (events) о начале и конце NAT-ирования, трафика там нет.

 

При этом на этом-же хосте с nfsen собираются данные с микротика. И там в одной строке и NAT IP и данные по трафику. Куда копать ?

 

Я не знаю что там шлёт Микротик, скорее всего они нарушают RFC или придумали расширение.

 

А мне интересно что шлет микротик! Я поставил обычный nfdump и получаю только стандартные поля. Что нужно включить при компиляции?

[aabc]

Sonne

Лучше Wireshark.

[Susanin]

В обычном NetFlow - данные по трафику (на основе данных из IP пакетов, у IP пакета всего 2 адреса - src и dst).

В NEL - события (events) о начале и конце NAT-ирования, трафика там нет.

 

Теперь понятно. В данной реализации они не взаимосвязаны.

Я не знаю что там шлёт Микротик, скорее всего они нарушают RFC или придумали расширение.

 

А мне интересно что шлет микротик!

 

 

И вот вывод от микротика очень даже отличный! Ни одного поля с нулевым значением.

 

 

** nfdump -M /usr/local/nfsen/profiles-data/live/mkt  -T  -r 2015/11/27/nfcapd.201511271640 -c 50nfdump filter:anyDate first seen          Event  XEvent Proto      Src IP Addr:Port          Dst IP Addr:Port     X-Src IP Addr:Port        X-Dst IP Addr:Port   In Byte Out Byte2015-11-27 16:39:28.890 IGNORE  Ignore TCP       х.х.38.24:43455 ->   y.y.131.117:80        80.234.37.29:43455 ->   y.y.131.117:80         879        02015-11-27 16:39:28.900 IGNORE  Ignore TCP      95.142.196.10:80    ->      5.165.43.48:50935    95.142.196.10:80    ->     х.х.14.98:50935      104        02015-11-27 16:39:23.580 IGNORE  Ignore TCP      64.210.135.68:443   ->      y.y.17.144:60209    64.210.135.68:443   ->     х.х.14.31:60209    13043        02015-11-27 16:39:28.900 IGNORE  Ignore TCP       х.х.14.98:50937 ->   y.y.177.135:80         5.165.43.48:50937 ->   y.y.177.135:80          82        02015-11-27 16:39:28.920 IGNORE  Ignore UDP       х.х.32.20:10569 ->   109.195.93.112:1024      y.y.37.62:10569 ->   109.195.93.112:1024       262        02015-11-27 16:39:28.930 IGNORE  Ignore TCP     y.y.177.135:80    ->      5.165.43.48:50937   y.y.177.135:80    ->     х.х.14.98:50937      104        02015-11-27 16:39:28.930 IGNORE  Ignore TCP     y.y.131.117:80    ->     80.234.37.29:43455   y.y.131.117:80    ->     х.х.38.24:43455      844        02015-11-27 16:39:28.940 IGNORE  Ignore TCP      217.20.155.58:80    ->      y.y.17.144:53742    217.20.155.58:80    ->     х.х.11.15:53742      810        02015-11-27 16:39:28.950 IGNORE  Ignore TCP       х.х.31.25:59120 ->   88.212.201.194:80         y.y.17.144:59120 ->   88.212.201.194:80         643        02015-11-27 16:39:28.950 IGNORE  Ignore UDP     109.195.93.112:1024  ->     y.y.37.62:10569   109.195.93.112:1024  ->     х.х.32.20:10569      318        02015-11-27 16:39:28.950 IGNORE  Ignore TCP       х.х.15.70:52634 ->     95.213.2.234:80         y.y.17.144:52634 ->     95.213.2.234:80         621        02015-11-27 16:38:32.030 IGNORE  Ignore TCP      217.20.155.57:80    ->      5.165.43.48:60067    217.20.155.57:80    ->     х.х.23.20:60067    22906        02015-11-27 16:39:28.960 IGNORE  Ignore TCP     88.212.201.194:80    ->      y.y.17.144:59120   88.212.201.194:80    ->     х.х.31.25:59120      487        02015-11-27 16:39:28.980 IGNORE  Ignore TCP       95.213.2.234:80    ->      y.y.17.144:52634     95.213.2.234:80    ->     х.х.15.70:52634     7125        02015-11-27 16:39:28.990 IGNORE  Ignore TCP       х.х.11.83:53152 ->    y.y.159.95:80        y.y.37.62:53152 ->    y.y.159.95:80          82        02015-11-27 16:39:28.990 IGNORE  Ignore TCP       х.х.11.96:50279 ->    y.y.131.97:80        80.234.37.29:50279 ->    y.y.131.97:80          82        02015-11-27 16:39:29.000 IGNORE  Ignore TCP     137.116.69.252:443   ->     y.y.37.62:49313   137.116.69.252:443   ->     х.х.14.36:49313      260        02015-11-27 16:39:20.000 IGNORE  Ignore TCP       х.х.14.60:50553 ->    94.180.153.69:42336     80.234.37.29:50553 ->    94.180.153.69:42336      204        02015-11-27 16:39:29.010 IGNORE  Ignore TCP       х.х.31.25:54681 ->   88.212.201.194:80         y.y.17.144:54681 ->   88.212.201.194:80         643        02015-11-27 16:39:27.870 IGNORE  Ignore TCP       х.х.14.31:60215 ->     80.82.65.199:1530       y.y.17.144:60215 ->     80.82.65.199:1530       204        02015-11-27 16:39:29.020 IGNORE  Ignore TCP      y.y.159.95:80    ->     y.y.37.62:53152    y.y.159.95:80    ->     х.х.11.83:53152      104        02015-11-27 16:39:29.020 IGNORE  Ignore TCP       х.х.31.25:42422 ->   217.20.156.132:80         y.y.17.144:42422 ->   217.20.156.132:80        2363        02015-11-27 16:39:29.030 IGNORE  Ignore TCP     88.212.201.194:80    ->      y.y.17.144:54681   88.212.201.194:80    ->     х.х.31.25:54681      487        02015-11-27 16:39:29.040 IGNORE  Ignore TCP      y.y.131.97:80    ->     80.234.37.29:50279    y.y.131.97:80    ->     х.х.11.96:50279      104        02015-11-27 16:39:29.040 IGNORE  Ignore TCP     217.20.156.132:80    ->      y.y.17.144:42422   217.20.156.132:80    ->     х.х.31.25:42422     1689        02015-11-27 16:39:29.040 IGNORE  Ignore TCP       х.х.11.83:53061 ->   y.y.140.186:80        y.y.37.62:53061 ->   y.y.140.186:80          82        02015-11-27 16:39:25.420 IGNORE  Ignore TCP    107.189.171.194:8082  ->      y.y.17.144:60212  107.189.171.194:8082  ->     х.х.14.31:60212      380        0

 

[aabc]

И вот вывод от микротика очень даже отличный! Ни одного поля с нулевым значением.

С моей точки зрения, вывод ipt-netflow тоже отличный, поля eventов с нулевыми значениями - как и должно быть.

 

ps. Правда, я не понял этого:

Date first seen          Event  XEvent Proto      Src IP Addr:Port          Dst IP Addr:Port     X-Src IP Addr:Port        X-Dst IP Addr:Port   In Byte Out Byte
2015-11-27 16:39:59.976 IGNORE  Ignore UDP       х.х.30.21:19738 ->   37.214.174.162:63684    y.y.49.120:1     ->   37.214.174.162:68           0        0
2015-11-27 16:39:59.978 IGNORE  Ignore TCP       х.х.37.46:62346 ->  105.105.187.188:27759    y.y.49.126:1     ->  105.105.187.188:68           0        0

Почему тут порт 1 у X-Src IP Port. Напишите мне или в трекер если считаете, что это не правильно и захотите разобраться.

Изменено 28 ноября, 2015 пользователем aabc