Ilya Evseev Опубликовано 6 июня, 2015 · Жалоба Есть виртуалка на основе OpenVZ в OVH. Подскажите Netflow сенсор. Скорее всего, любой, умеющий работать через libpcap: softflowd, fprobe, pmacct, ipcad, ndsad, netams flowprobe и т.д. softflowd -i venet0 -n 127.0.0.1:9996 Производительность будет посредственной, естественно. (вообще для темы про ipt_netflow этот вопрос имхо оффтоп, имело смысл создать отдельную) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 6 июня, 2015 · Жалоба Что-либо с поддержкой AF_PACKET может дать отличную скорость захвата даже внутри OpenVZ VPS, но навскидку такой софт не приведу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 8 июня, 2015 · Жалоба Есть виртуалка на основе OpenVZ в OVH. Подскажите Netflow сенсор. Скорее всего, любой, умеющий работать через libpcap: softflowd, fprobe, pmacct, ipcad, ndsad, netams flowprobe и т.д. Вы путаете сенсор, коллектор и анализатор netflow. softflowd -i venet0 -n 127.0.0.1:9996 Производительность будет посредственной, естественно. Буду пробовать. (вообще для темы про ipt_netflow этот вопрос имхо оффтоп, имело смысл создать отдельную) А мне вот не понятно, зачем нужен отдельный модуль ядра? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 8 июня, 2015 · Жалоба А мне вот не понятно, зачем нужен отдельный модуль ядра? Чтобы трафик не гнать в юзерспейс же. Или есть альтернативы анализа трафика без переключения контекста? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VVSina Опубликовано 10 июня, 2015 · Жалоба сейчас начнётся свалка про PF_RING и LIBZERO Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 10 июня, 2015 · Жалоба не увидил сходу, а кто сколько максимум проварил на ipt_netflow ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 10 июня, 2015 · Жалоба Есть виртуалка на основе OpenVZ в OVH. Подскажите Netflow сенсор. Скорее всего, любой, умеющий работать через libpcap: softflowd, fprobe, pmacct, ipcad, ndsad, netams flowprobe и т.д. Вы путаете сенсор, коллектор и анализатор netflow. Не путаю. Всё перечисленное является либо сенсорами (probe), либо универсальными программами, умеющими в т.ч. работать как сенсор. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 14 июня, 2015 (изменено) · Жалоба PF_RING и прочие не из этой серии. Если Вы хотите, чтобы машина умела ТОЛЬКО_РАБОТАТЬ_АГЕНТОМ_ФЛОУ - вперед, тогда PF_RING ZC / NETMAP / DPDK - рулят. Но если хочется, чтобы машина умела еще что-нить бесполезное - типа роутинга, ната и шейпинга - ядерный модуль безальтернативен. А я бы риквестовал поддержку sFLOW v5. Я, конечно, понимаю, что оно не из той серии вообще. Но оно не имеет ряда проблем, что есть у NetFlow - оверхеда на трекинг сессий, оверхеда на поддержку довольно тяжелого протокола (netflow v9 + ipfix) и что наиболее важно для меня - не имеет никакой задержки вообще, трафик поступает мгновенно и можно предпринимать действия. Кроме того, sFLOW очень круто себя показывает для выявления атак, именно по причине отсутствия латенси и серьезной перегрузки оборудования. Изменено 14 июня, 2015 пользователем pavel.odintsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 30 июня, 2015 · Жалоба Я бы хотел попробовать ipt_netflow заместо fprobe-ulog на Debian wheezy 7.8 3.2.0-4-amd64, если сейчас соберу из исходников - будет ли работать при обновлении на Jessie ? Или обязательно нужен dkms ? Мне нужно направить поток на коллектор от LANBilling (NETFlow слушает UDP 7223) то есть я вписываю в netflow.conf ipt_NETFLOW destination=127.0.0.1:7223 ну и iptables правила? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 30 июня, 2015 · Жалоба Что лучше этот модуль или nProbe (вопрос не касается денег)? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 30 июня, 2015 · Жалоба Я бы хотел попробовать ipt_netflow заместо fprobe-ulog на Debian wheezy 7.8 3.2.0-4-amd64, если сейчас соберу из исходников - будет ли работать при обновлении на Jessie ? Или обязательно нужен dkms ? Нужен dkms. Мне нужно направить поток на коллектор от LANBilling (NETFlow слушает UDP 7223) то есть я вписываю в netflow.conf ipt_NETFLOW destination=127.0.0.1:7223 ну и iptables правила? Да. netflow.conf должен находиться в /etc/modprobe.d/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 1 июля, 2015 · Жалоба Я бы хотел попробовать ipt_netflow заместо fprobe-ulog на Debian wheezy 7.8 3.2.0-4-amd64, если сейчас соберу из исходников - будет ли работать при обновлении на Jessie ? Или обязательно нужен dkms ? Нужен dkms. Мне нужно направить поток на коллектор от LANBilling (NETFlow слушает UDP 7223) то есть я вписываю в netflow.conf ipt_NETFLOW destination=127.0.0.1:7223 ну и iptables правила? Да. netflow.conf должен находиться в /etc/modprobe.d/ Спасибо, да, уже чуть-чуть разобрался. А то текущий fprobe-ulog как то больше грузит цпу при отправке. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aabc Опубликовано 2 июля, 2015 (изменено) · Жалоба Что лучше этот модуль или nProbe (вопрос не касается денег)? Смотря какие цели. В nProbe есть DPI, в ipt-netflow интеграция с iptables. В nProbe дополнительно есть функционал коллектора и proxy. В ipt-netflow есть функционал NEL. В nProbe есть интеграция с BGP (через перл скрипты). В ipt-netflow есть актуальный nexthop, физ. интерфейс для бриджей (так как в ядре есть доступ к этой информации). Изменено 2 июля, 2015 пользователем aabc Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 11 июля, 2015 · Жалоба пробовал собрать под свежее 4.1 - не собирается... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 18 июля, 2015 · Жалоба В общем что-то типа такого нужно для свежих ядер (насчет версии не уверен, скорее - где-то с 3.19 или 4.0 __get_cpu_var возвращает не то), хотя, возможно, и для всех ядер стоило бы заменить __get_cpu_var на this_cpu_ptr). С такой правкой уже собирается, но работу не тестировал (стенда нет). --- ipt-netflow-2.1/ipt_NETFLOW.h 2015-02-08 21:39:27.000000000 +0200 +++ ipt-netflow-2.1.new/ipt_NETFLOW.h 2015-07-18 14:05:45.737635510 +0300 @@ -394,28 +394,34 @@ __u16 aggr_port; }; -#define NETFLOW_STAT_INC(count) (__get_cpu_var(ipt_netflow_stat).count++) -#define NETFLOW_STAT_ADD(count, val) (__get_cpu_var(ipt_netflow_stat).count += (unsigned long long)val) -#define NETFLOW_STAT_SET(count, val) (__get_cpu_var(ipt_netflow_stat).count = (unsigned long long)val) +#if LINUX_VERSION_CODE < KERNEL_VERSION(4, 1, 0) +#define NETFLOW_STAT_PERCPU(count) __get_cpu_var(ipt_netflow_stat).count +#else +#define NETFLOW_STAT_PERCPU(count) this_cpu_ptr(&ipt_netflow_stat)->count +#endif + +#define NETFLOW_STAT_INC(count) NETFLOW_STAT_PERCPU(count)++ +#define NETFLOW_STAT_ADD(count, val) (NETFLOW_STAT_PERCPU(count) += (unsigned long long)val) +#define NETFLOW_STAT_SET(count, val) (NETFLOW_STAT_PERCPU(count) = (unsigned long long)val) #define NETFLOW_STAT_TS(count) \ do { \ ktime_t kts = ktime_get_real(); \ - if (!(__get_cpu_var(ipt_netflow_stat)).count.first.tv64) \ - __get_cpu_var(ipt_netflow_stat).count.first = kts; \ - __get_cpu_var(ipt_netflow_stat).count.last = kts; \ + if (!NETFLOW_STAT_PERCPU(count).first.tv64) \ + NETFLOW_STAT_PERCPU(count).first = kts; \ + NETFLOW_STAT_PERCPU(count).last = kts; \ } while (0); #define NETFLOW_STAT_INC_ATOMIC(count) \ do { \ preempt_disable(); \ - (__get_cpu_var(ipt_netflow_stat).count++); \ + NETFLOW_STAT_INC(count); \ preempt_enable(); \ } while (0); #define NETFLOW_STAT_ADD_ATOMIC(count, val) \ do { \ preempt_disable(); \ - (__get_cpu_var(ipt_netflow_stat).count += (unsigned long long)val); \ + NETFLOW_STAT_ADD(count, val) \ preempt_enable(); \ } while (0); #define NETFLOW_STAT_READ(count) ({ \ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aabc Опубликовано 19 июля, 2015 · Жалоба NiTr0 Так вроде поддержка этого давно есть в гит: https://github.com/aabc/ipt-netflow/commit/582fd497a5f Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 19 июля, 2015 · Жалоба Хм, таки да, сейчас каррент собрался, до того - не хотел... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Susanin Опубликовано 27 ноября, 2015 · Жалоба Добрый день. Настроил у себя модуль на Centos 6 с включенныv NAT. Данные собираю с помощью nfsen. Как объяснить такие странное поведение: ** nfdump -M /usr/local/nfsen/profiles-data/live/nat_linux -T -r 2015/11/27/nfcapd.201511271640 -c 50 nfdump filter: any Date first seen Event XEvent Proto Src IP Addr:Port Dst IP Addr:Port X-Src IP Addr:Port X-Dst IP Addr:Port In Byte Out Byte 2015-11-27 16:39:44.804 IGNORE Ignore TCP 95.213.9.198:80 -> х.х.17.22:52758 0.0.0.0:0 -> 0.0.0.0:0 46366 0 2015-11-27 16:39:35.957 IGNORE Ignore TCP х.х.29.55:57292 -> 88.200.234.164:6881 0.0.0.0:0 -> 0.0.0.0:0 152 0 2015-11-27 16:39:23.972 IGNORE Ignore TCP 149.202.17.160:10000 -> х.х.26.15:10877 0.0.0.0:0 -> 0.0.0.0:0 176 0 2015-11-27 16:39:44.944 IGNORE Ignore TCP х.х.15.99:57256 -> 185.5.160.8:80 0.0.0.0:0 -> 0.0.0.0:0 80 0 2015-11-27 16:39:44.983 IGNORE Ignore UDP 213.81.86.16:14189 -> х.х.12.14:61809 0.0.0.0:0 -> 0.0.0.0:0 1155 0 2015-11-27 16:39:44.792 IGNORE Ignore TCP х.х.17.22:52761 -> 95.213.9.138:80 0.0.0.0:0 -> 0.0.0.0:0 912 0 2015-11-27 16:39:44.961 IGNORE Ignore TCP 178.154.131.216:80 -> х.х.29.77:49668 0.0.0.0:0 -> 0.0.0.0:0 2182 0 2015-11-27 16:39:44.834 IGNORE Ignore TCP 95.213.5.244:80 -> х.х.17.22:52763 0.0.0.0:0 -> 0.0.0.0:0 34302 0 2015-11-27 16:39:44.929 IGNORE Ignore TCP 184.86.50.164:80 -> х.х.3.2:59444 0.0.0.0:0 -> 0.0.0.0:0 4881 0 2015-11-27 16:39:59.976 IGNORE Ignore UDP х.х.30.21:19738 -> 37.21.66.241:10354 y.y.49.120:1 -> 37.21.66.241:68 0 0 2015-11-27 16:39:59.976 IGNORE Ignore UDP х.х.30.21:19738 -> 212.94.8.31:54338 y.y.49.120:1 -> 212.94.8.31:68 0 0 2015-11-27 16:39:59.976 IGNORE Ignore UDP х.х.30.21:19738 -> 37.214.174.162:63684 y.y.49.120:1 -> 37.214.174.162:68 0 0 2015-11-27 16:39:59.978 IGNORE Ignore TCP х.х.37.46:62346 -> 105.105.187.188:27759 y.y.49.126:1 -> 105.105.187.188:68 0 0 2015-11-27 16:39:59.978 IGNORE Ignore UDP х.х.30.21:19738 -> 213.24.127.12:2796 y.y.49.120:1 -> 213.24.127.12:68 0 0 2015-11-27 16:39:59.978 IGNORE Ignore UDP х.х.30.21:19738 -> 37.79.248.189:50049 y.y.49.120:1 -> 37.79.248.189:68 0 0 2015-11-27 16:39:59.978 IGNORE Ignore UDP х.х.30.21:19738 -> 2.132.216.3:22277 y.y.49.120:1 -> 2.132.216.3:68 0 0 2015-11-27 16:39:59.981 IGNORE Ignore UDP х.х.30.21:19738 -> 46.172.80.19:32138 y.y.49.120:1 -> 46.172.80.19:68 0 0 2015-11-27 16:39:59.981 IGNORE Ignore UDP х.х.30.21:19738 -> 10.177.166.164:56074 y.y.49.120:1 -> 10.177.166.164:68 0 0 2015-11-27 16:39:59.981 IGNORE Ignore TCP х.х.30.21:64822 -> 90.151.149.129:64726 y.y.49.120:1 -> 90.151.149.129:68 0 0 2015-11-27 16:39:59.981 IGNORE Ignore TCP х.х.30.21:64823 -> 92.240.211.148:20655 y.y.49.120:1 -> 92.240.211.148:68 0 0 2015-11-27 16:39:59.988 IGNORE Ignore TCP х.х.23.25:52104 -> 94.231.132.213:6881 y.y.49.120:1 -> 94.231.132.213:68 0 0 2015-11-27 16:39:59.989 IGNORE Ignore UDP х.х.1.5:42702 -> 93.186.238.24:53 y.y.49.96:1 -> 93.186.238.24:56 0 0 2015-11-27 16:39:44.960 IGNORE Ignore TCP х.х.29.77:49668 -> 178.154.131.216:80 0.0.0.0:0 -> 0.0.0.0:0 510 0 2015-11-27 16:39:44.999 IGNORE Ignore UDP 217.29.76.4:53 -> х.х.1.5:34893 0.0.0.0:0 -> 0.0.0.0:0 143 0 2015-11-27 16:39:36.964 IGNORE Ignore TCP 184.86.50.164:80 -> х.х.15.99:57381 0.0.0.0:0 -> 0.0.0.0:0 160 0 2015-11-27 16:39:41.989 IGNORE Ignore TCP х.х.13.66:51194 -> 52.25.254.242:80 0.0.0.0:0 -> 0.0.0.0:0 180 0 2015-11-27 16:39:44.999 IGNORE Ignore UDP 217.29.76.4:53 -> х.х.1.5:48296 0.0.0.0:0 -> 0.0.0.0:0 171 0 2015-11-27 16:39:44.992 IGNORE Ignore ICMP х.х.1.5:0 -> 23.79.189.4:0.0 0.0.0.0:0 -> 0.0.0.0:0 80 0 2015-11-27 16:39:44.999 IGNORE Ignore UDP 217.29.76.4:53 -> х.х.1.5:64237 0.0.0.0:0 -> 0.0.0.0:0 171 0 2015-11-27 16:39:45.000 IGNORE Ignore UDP х.х.12.14:61809 -> 31.135.144.199:22215 0.0.0.0:0 -> 0.0.0.0:0 143 0 2015-11-27 16:39:44.986 IGNORE Ignore ICMP 89.70.67.210:0 -> х.х.23.25:3.3 0.0.0.0:0 -> 0.0.0.0:0 159 0 2015-11-27 16:39:45.000 IGNORE Ignore UDP х.х.12.14:61809 -> 59.94.35.195:12637 0.0.0.0:0 -> 0.0.0.0:0 143 0 2015-11-27 16:39:44.999 IGNORE Ignore UDP 217.29.76.4:53 -> х.х.1.5:42208 0.0.0.0:0 -> 0.0.0.0:0 143 0 2015-11-27 16:39:44.998 IGNORE Ignore UDP х.х.12.14:61809 -> 90.214.49.231:13285 0.0.0.0:0 -> 0.0.0.0:0 143 0 2015-11-27 16:39:44.871 IGNORE Ignore TCP х.х.3.2:59444 -> 184.86.50.164:80 0.0.0.0:0 -> 0.0.0.0:0 791 0 Т.е. в строках. где указан NAT IP нет показаний трафика. Где трафик - там нет NAT_IP. При этом на этом-же хосте с nfsen собираются данные с микротика. И там в одной строке и NAT IP и данные по трафику. Куда копать ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 27 ноября, 2015 · Жалоба Версия нетфлоу небось пятая? * NAT translations events (from conntrack) using NetFlow Event Logging (NEL). This is standardized way for v9/IPFIXr, but module export such events even for v5 collectors via specially crafted pseudo-records. For NetFlow v5 protocol meaning of fields in dummy flows are such: Src IP, Src Port is Pre-nat source address. Dst IP, Dst Port is Post-nat destination address. - These two fields made equal to data flows catched in FORWARD chain. Nexthop, Src AS is Post-nat source address for SNAT. Or, Nexthop, Dst AS is Pre-nat destination address for DNAT. TCP Flags is SYN+SCK for start event, RST+FIN for stop event. Pkt/Traffic size is 0 (zero), so it won't interfere with accounting. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Susanin Опубликовано 27 ноября, 2015 · Жалоба Нет, 9 $ cat /proc/net/stat/ipt_netflow ipt_NETFLOW 2.1, srcversion 58A0CDB87535BC3F8E93944; llist nel Protocol version 9 (netflow), refresh-rate 20, timeout-rate 30, (templates 37, active 10). Timeouts: active 1800s, inactive 15s. Maxflows 2000000 Natevents enabled, count start 2255735061, stop 2255672913. Flows: active 27545 (peak 109374 reached 7d21h44m ago), mem 9423K, worker delay 20/1000 [1..100] (15 ms, 0 us, 273:0 0 [cpu1]). Hash: size 655360 (mem 5120K), metric 1.02 [1.00, 1.00, 1.00]. InHash: 25846277 pkt, 19815029 K, InPDU 68, 30183. Rate: 371185380 bits/sec, 58388 packets/sec; Avg 1 min: 370301655 bps, 57970 pps; 5 min: 384122648 bps, 59441 pps cpu# pps; <search found new [metric], trunc frag alloc maxflows>, traffic: <pkt, bytes>, drop: <pkt, bytes> Total 58388; 8031021469 260684955165 6738876342 [242.50], 0 0 0 0, traffic: 267423831507, 210429102 MB, drop: 0, 0 K cpu0 0; 125002 895271 2323 [1.00], 0 0 0 0, traffic: 897594, 2206 MB, drop: 0, 0 K cpu1 103; 306707 5418450 2452 [1.00], 0 0 0 0, traffic: 5420902, 7498 MB, drop: 0, 0 K cpu2 27083; 3369184976 107880480402 3305855162 [1.00], 0 0 0 0, traffic: 111186335564, 32444048 MB, drop: 0, 0 K cpu3 31202; 4661404784 152798161042 3433016405 [1.00], 0 0 0 0, traffic: 156231177447, 177975348 MB, drop: 0, 0 K Export: Rate 110361 bytes/s; Total 328179411 pkts, 438515 MB, 11251223097 flows; Errors 7289 pkts; Traffic lost 3622282 pkts, 2975984 Kbytes, 221934 flows. sock0: 172.20.1.18:9995, sndbuf 4194394, filled 1, peak 394265; err: sndbuf reached 0, connect 0, cberr 194593, other 1148 Если переключить на 5, то вообще всегда поле NAT в нулях. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aabc Опубликовано 27 ноября, 2015 (изменено) · Жалоба Т.е. в строках. где указан NAT IP нет показаний трафика. Где трафик - там нет NAT_IP. Есть обычный NetFlow и NAT Events (NEL). В обычном NetFlow - данные по трафику (на основе данных из IP пакетов, у IP пакета всего 2 адреса - src и dst). В NEL - события (events) о начале и конце NAT-ирования, трафика там нет. При этом на этом-же хосте с nfsen собираются данные с микротика. И там в одной строке и NAT IP и данные по трафику. Куда копать ? Я не знаю что там шлёт Микротик, скорее всего они нарушают RFC или придумали расширение. Изменено 27 ноября, 2015 пользователем aabc Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 27 ноября, 2015 · Жалоба Т.е. в строках. где указан NAT IP нет показаний трафика. Где трафик - там нет NAT_IP. Есть обычный NetFlow и NAT Events (NEL). В обычном NetFlow - данные по трафику (на основе данных из IP пакетов, у IP пакета всего 2 адреса - src и dst). В NEL - события (events) о начале и конце NAT-ирования, трафика там нет. При этом на этом-же хосте с nfsen собираются данные с микротика. И там в одной строке и NAT IP и данные по трафику. Куда копать ? Я не знаю что там шлёт Микротик, скорее всего они нарушают RFC или придумали расширение. А мне интересно что шлет микротик! Я поставил обычный nfdump и получаю только стандартные поля. Что нужно включить при компиляции? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aabc Опубликовано 27 ноября, 2015 · Жалоба Sonne Лучше Wireshark. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Susanin Опубликовано 28 ноября, 2015 · Жалоба В обычном NetFlow - данные по трафику (на основе данных из IP пакетов, у IP пакета всего 2 адреса - src и dst). В NEL - события (events) о начале и конце NAT-ирования, трафика там нет. Теперь понятно. В данной реализации они не взаимосвязаны. Я не знаю что там шлёт Микротик, скорее всего они нарушают RFC или придумали расширение. А мне интересно что шлет микротик! И вот вывод от микротика очень даже отличный! Ни одного поля с нулевым значением. ** nfdump -M /usr/local/nfsen/profiles-data/live/mkt -T -r 2015/11/27/nfcapd.201511271640 -c 50nfdump filter:anyDate first seen Event XEvent Proto Src IP Addr:Port Dst IP Addr:Port X-Src IP Addr:Port X-Dst IP Addr:Port In Byte Out Byte2015-11-27 16:39:28.890 IGNORE Ignore TCP х.х.38.24:43455 -> y.y.131.117:80 80.234.37.29:43455 -> y.y.131.117:80 879 02015-11-27 16:39:28.900 IGNORE Ignore TCP 95.142.196.10:80 -> 5.165.43.48:50935 95.142.196.10:80 -> х.х.14.98:50935 104 02015-11-27 16:39:23.580 IGNORE Ignore TCP 64.210.135.68:443 -> y.y.17.144:60209 64.210.135.68:443 -> х.х.14.31:60209 13043 02015-11-27 16:39:28.900 IGNORE Ignore TCP х.х.14.98:50937 -> y.y.177.135:80 5.165.43.48:50937 -> y.y.177.135:80 82 02015-11-27 16:39:28.920 IGNORE Ignore UDP х.х.32.20:10569 -> 109.195.93.112:1024 y.y.37.62:10569 -> 109.195.93.112:1024 262 02015-11-27 16:39:28.930 IGNORE Ignore TCP y.y.177.135:80 -> 5.165.43.48:50937 y.y.177.135:80 -> х.х.14.98:50937 104 02015-11-27 16:39:28.930 IGNORE Ignore TCP y.y.131.117:80 -> 80.234.37.29:43455 y.y.131.117:80 -> х.х.38.24:43455 844 02015-11-27 16:39:28.940 IGNORE Ignore TCP 217.20.155.58:80 -> y.y.17.144:53742 217.20.155.58:80 -> х.х.11.15:53742 810 02015-11-27 16:39:28.950 IGNORE Ignore TCP х.х.31.25:59120 -> 88.212.201.194:80 y.y.17.144:59120 -> 88.212.201.194:80 643 02015-11-27 16:39:28.950 IGNORE Ignore UDP 109.195.93.112:1024 -> y.y.37.62:10569 109.195.93.112:1024 -> х.х.32.20:10569 318 02015-11-27 16:39:28.950 IGNORE Ignore TCP х.х.15.70:52634 -> 95.213.2.234:80 y.y.17.144:52634 -> 95.213.2.234:80 621 02015-11-27 16:38:32.030 IGNORE Ignore TCP 217.20.155.57:80 -> 5.165.43.48:60067 217.20.155.57:80 -> х.х.23.20:60067 22906 02015-11-27 16:39:28.960 IGNORE Ignore TCP 88.212.201.194:80 -> y.y.17.144:59120 88.212.201.194:80 -> х.х.31.25:59120 487 02015-11-27 16:39:28.980 IGNORE Ignore TCP 95.213.2.234:80 -> y.y.17.144:52634 95.213.2.234:80 -> х.х.15.70:52634 7125 02015-11-27 16:39:28.990 IGNORE Ignore TCP х.х.11.83:53152 -> y.y.159.95:80 y.y.37.62:53152 -> y.y.159.95:80 82 02015-11-27 16:39:28.990 IGNORE Ignore TCP х.х.11.96:50279 -> y.y.131.97:80 80.234.37.29:50279 -> y.y.131.97:80 82 02015-11-27 16:39:29.000 IGNORE Ignore TCP 137.116.69.252:443 -> y.y.37.62:49313 137.116.69.252:443 -> х.х.14.36:49313 260 02015-11-27 16:39:20.000 IGNORE Ignore TCP х.х.14.60:50553 -> 94.180.153.69:42336 80.234.37.29:50553 -> 94.180.153.69:42336 204 02015-11-27 16:39:29.010 IGNORE Ignore TCP х.х.31.25:54681 -> 88.212.201.194:80 y.y.17.144:54681 -> 88.212.201.194:80 643 02015-11-27 16:39:27.870 IGNORE Ignore TCP х.х.14.31:60215 -> 80.82.65.199:1530 y.y.17.144:60215 -> 80.82.65.199:1530 204 02015-11-27 16:39:29.020 IGNORE Ignore TCP y.y.159.95:80 -> y.y.37.62:53152 y.y.159.95:80 -> х.х.11.83:53152 104 02015-11-27 16:39:29.020 IGNORE Ignore TCP х.х.31.25:42422 -> 217.20.156.132:80 y.y.17.144:42422 -> 217.20.156.132:80 2363 02015-11-27 16:39:29.030 IGNORE Ignore TCP 88.212.201.194:80 -> y.y.17.144:54681 88.212.201.194:80 -> х.х.31.25:54681 487 02015-11-27 16:39:29.040 IGNORE Ignore TCP y.y.131.97:80 -> 80.234.37.29:50279 y.y.131.97:80 -> х.х.11.96:50279 104 02015-11-27 16:39:29.040 IGNORE Ignore TCP 217.20.156.132:80 -> y.y.17.144:42422 217.20.156.132:80 -> х.х.31.25:42422 1689 02015-11-27 16:39:29.040 IGNORE Ignore TCP х.х.11.83:53061 -> y.y.140.186:80 y.y.37.62:53061 -> y.y.140.186:80 82 02015-11-27 16:39:25.420 IGNORE Ignore TCP 107.189.171.194:8082 -> y.y.17.144:60212 107.189.171.194:8082 -> х.х.14.31:60212 380 0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aabc Опубликовано 28 ноября, 2015 (изменено) · Жалоба И вот вывод от микротика очень даже отличный! Ни одного поля с нулевым значением. С моей точки зрения, вывод ipt-netflow тоже отличный, поля eventов с нулевыми значениями - как и должно быть. ps. Правда, я не понял этого: Date first seen Event XEvent Proto Src IP Addr:Port Dst IP Addr:Port X-Src IP Addr:Port X-Dst IP Addr:Port In Byte Out Byte 2015-11-27 16:39:59.976 IGNORE Ignore UDP х.х.30.21:19738 -> 37.214.174.162:63684 y.y.49.120:1 -> 37.214.174.162:68 0 0 2015-11-27 16:39:59.978 IGNORE Ignore TCP х.х.37.46:62346 -> 105.105.187.188:27759 y.y.49.126:1 -> 105.105.187.188:68 0 0 Почему тут порт 1 у X-Src IP Port. Напишите мне или в трекер если считаете, что это не правильно и захотите разобраться. Изменено 28 ноября, 2015 пользователем aabc Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...