백본 장비에서 sflow를 일반 리눅스 서버로 전송을 한다
udp 덤프를 확인해보면 백본에서 리눅스 서버로 udp로 sflow 데이터를 전송한다
과연 이것을 어떻게 분석할까?
윈도우를 이용한다면야.. 많은 anylizer가 있어 상관이 없지만 리눅스에서 실시간으로
확인하기 위해서 열심히 구글링 한 결과
pmacct를 이용한 방법이 있었다
1. 설치
다운로드
[root@ns1 ~]# wget http://www.pmacct.net/pmacct-0.12.0.tar.gz
압축해제 후 컴파일 작업
[root@ns1 ~]# tar xvfz pmacct-0.12.0.tar.gz
[root@ns1 ~]# cd pmacct-0.12.0
[root@ns1 pmacct-0.12.0]# ./configure –prefix=/usr/local/pmacct \
–enable-mysql \
–with-mysql-libs=/usr/local/mysql/lib/mysql \
–with-mysql-includes=/usr/local/mysql/include/mysql
설치 완료 후 다양하게 sflow 데이터를 받을 수 있다
난 우선 테스트로
[root@ns1 ~]# /usr/local/pmacct/sbin/sfacctd -c src_mac,dst_mac,vlan,src_host,dst_host,proto,src_port,dst_port,tcpflags,tos,tag,tag2,calss
이렇게 기본 디폴트값으로 데이터 실시간 보여지는 그 정보는
[root@ns1 ~]# /usr/local/pmacct/bin/pmacct -s -p /tmp/collect.pipe
pmacct의 옵션을 살펴보면 다양하게 정보를 출력 할수 있다
내가 하고 싶은 것은 이 정보의 데이터를 mysql에 바로 담는것인데
이상하게 계속 오류가 나네..
환경설정이 잘 이루어지지 않아서인지…
이 부분은 계속 테스트 하고 있다…
국내 및 해외에서도 pmacct 부분은 그닥 많은 정보가 있지 않다.
오로지 자기가 문서를 보면서 테스트를 하면서 하나씩 옵션에 대한 내용을 이해 해야한다..
실제 위에서 받은 데이터를 받아보면 아래와 같다
TAG TAG2 SRC_MAC DST_MAC VLAN SRC_IP DST_IP SRC_PORT DST_PORT TCP_FLAGS
PROTOCOL TOS PACKETS BYTES
0 0 00:04:23:e0:e7:ec 00:21:f7:b2:8e:00 0 218.x.x.x 124.50.99.180 80 4175 16
tcp 16 1 1518
0 0 00:1c:c0:ac:35:86 00:21:f7:b2:8e:00 0 222.x.x.x 121.185.228.178 80 2426 16
tcp 16 1 1518
0 0 00:1c:c0:d4:5a:ab 00:21:f7:b2:8e:00 0 218.145,x.x 221.153.55.71 80 3607 24
tcp 16 1 778
0 0 00:16:e6:d2:7b:62 00:21:f7:b2:8e:00 0 218.145.x.x 66.249.68.107 80 32819 16
tcp 0 1 1518
0 0 00:02:b3:b0:78:67 00:21:f7:b2:8e:00 0 211.218.x.x 112.163.61.113 80 63237 16
tcp 0 1 64
순서대로 보면 정보를 알수 있습니다
위해서 출력된 DST_IP가 국내인지 해외인지 스크립트를 이용해서 실시간으로 분석처리
해외의공격을 대비한….
좀 더 많은 공부를 하고 나서 옵션에 대한 설명은 추후 …
- HOME
- LINUX