Господа не подскажете приблудку которая может прикидываться netflow сервером? Спасибо -- UNIX is user friendly. It's just very selective about who it's friends are Sincerely Yours, Andrey Loginov AVL40-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, Dec 03, 2002 at 09:50:01AM +0200, Andrey V. Loginoff wrote:
Господа не подскажете приблудку которая может прикидываться netflow сервером? Спасибо
Ой. Их много :) cflowd, flow-tools, NeTraMet, Cisco NetFlowCollector - это только навскидку... =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
çÏÓÐÏÄÁ ÎÅ ÐÏÄÓËÁÖÅÔÅ ÐÒÉÂÌÕÄËÕ ËÏÔÏÒÁÑ ÍÏÖÅÔ ÐÒÉËÉÄÙ×ÁÔØÓÑ netflow ÓÅÒ×ÅÒÏÍ? óÐÁÓÉÂÏ
Try to read ru.cisco FAQ. There are some links (enough, imho) related with that. 2possible flamers: I write from stupid WebMail server that doesn't support cyrillic encoding, so keep your advices for yourself, please. ;) -- Regards, Oleh Hrynchuk Mobile: +380679246192 E-mail: oleh@nextra.cz =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, Dec 03, 2002 at 11:13:49AM +0300, Alexandre Snarskii wrote:
On Tue, Dec 03, 2002 at 09:50:01AM +0200, Andrey V. Loginoff wrote:
Господа не подскажете приблудку которая может прикидываться netflow сервером? Спасибо
Ой. Их много :) cflowd, flow-tools, NeTraMet, Cisco NetFlowCollector - это только навскидку... Я немного не то имел ввиду. Я имел ввиду организовать flow ыserver на unixe чтоб с него можно было cflowdом данные снимать:> Я нашел одну тулзу, называется softflowd, но она какаято кривая....:/ Может подскажете есть ли аналоги какието? -- UNIX is user friendly. It's just very selective about who it's friends are Sincerely Yours, Andrey Loginov AVL40-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Alexandre Snarskii (snar@paranoia.ru) wrote:
On Tue, Dec 03, 2002 at 09:50:01AM +0200, Andrey V. Loginoff wrote:
Господа не подскажете приблудку которая может прикидываться netflow сервером? Спасибо
Ой. Их много :) cflowd, flow-tools, NeTraMet, Cisco NetFlowCollector - это только навскидку...
Насколько я понимаю, джентельмена интересует не коллектор, а реализация аккаунтинга имени netflow for PC. -- Michael Vasilenko =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, Dec 03, 2002 at 10:49:20AM +0200, Michael Vasilenko wrote:
Господа не подскажете приблудку которая может прикидываться netflow сервером? Спасибо
Ой. Их много :) cflowd, flow-tools, NeTraMet, Cisco NetFlowCollector - это только навскидку...
Насколько я понимаю, джентельмена интересует не коллектор, а реализация аккаунтинга имени netflow for PC.
один мой знакомый дописывает такую фигню по крайней мере у меня стоит в бэта-тестинге и работает, что самое смешное :) из всего, что я видел - этот вариант самый удобный для меня вешается на интерфейс и шлет netflow поток куда положено. впрочем, автор сам читает это, так что отзовется, я думаю :) -- Maxim Mazurok (MMP2-RIPE) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Господа не подскажете приблудку которая может прикидываться netflow сервером? Спасибо
Ой. Их много :) cflowd, flow-tools, NeTraMet, Cisco NetFlowCollector - это только навскидку...
Насколько я понимаю, джентельмена интересует не коллектор, а реализация аккаунтинга имени netflow for PC.
один мой знакомый дописывает такую фигню по крайней мере у меня стоит в бэта-тестинге и работает, что самое смешное :) из всего, что я видел - этот вариант самый удобный для меня вешается на интерфейс и шлет netflow поток куда положено. впрочем, автор сам читает это, так что отзовется, я думаю :)
А зачем писать если в пакеты NeTraMet оно уже есть. Висит демоном, шлет netflow куда положено. -- VK201-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, Dec 03, 2002 at 10:34:08AM +0200, Andrey V. Loginoff wrote:
On Tue, Dec 03, 2002 at 11:13:49AM +0300, Alexandre Snarskii wrote:
On Tue, Dec 03, 2002 at 09:50:01AM +0200, Andrey V. Loginoff wrote:
Господа не подскажете приблудку которая может прикидываться netflow сервером? Спасибо
Ой. Их много :) cflowd, flow-tools, NeTraMet, Cisco NetFlowCollector - это только навскидку... Я немного не то имел ввиду. Я имел ввиду организовать flow server на unixe чтоб с него можно было cflowdом данные снимать:>
А... Отвык уже от unix-based router'ов :) А самому написать ? :) Если не париться с аггрегированием (один проходящий пакет - одна entry, интерфейсы и as'ы всегда 0) - за полдня с перекурами думаю справиться можно... =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, 3 Dec 2002, Alexandre Snarskii wrote:
А... Отвык уже от unix-based router'ов :) А самому написать ? :) Если не париться с аггрегированием (один проходящий пакет - одна entry, интерфейсы и as'ы всегда 0) - за полдня с перекурами думаю справиться можно...
А номер интерфейса-то чем не угодил? Да и по поводу AS-а тоже IMHO все достаточно просто - раз статистику собрал, а потом закешированным пользоваться. Обновлять по мере необходимости. В свое время когда я аналог tcpdump-а для netflow писал, весь костяк был написан как раз за полдня, больше заняли рюшечки. -- VP992-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, Dec 03, 2002 at 11:44:15AM +0200, Vladimir A. Podgorny wrote:
On Tue, 3 Dec 2002, Alexandre Snarskii wrote:
А... Отвык уже от unix-based router'ов :) А самому написать ? :) Если не париться с аггрегированием (один проходящий пакет - одна entry, интерфейсы и as'ы всегда 0) - за полдня с перекурами думаю справиться можно...
А номер интерфейса-то чем не угодил? Да и по поводу AS-а тоже IMHO все
А тем, что залезть в net-snmp и узнать этот номер - это еще кусочек работы :) А иначе этот номер и не имеет значения. С as'ом - то же самое. Динамическую таблицу в таком коллекторе держать, честно говоря, лениво; водружать gated/zebra и узнавать номер as'а через них - еще ленивее, поэтому проще всего эмулировать "кошку без таблицы", и вписывать src_as==dst_as==0.
достаточно просто - раз статистику собрал, а потом закешированным пользоваться. Обновлять по мере необходимости. В свое время когда я
Панимаешь, дарагой... (с) Ты скорее всего делал lookup AS#->description. Это действительно просто. А вот динамически отслеживать взаимосвязи ip_address -> AS# это гораздо сложнее.
аналог tcpdump-а для netflow писал, весь костяк был написан как раз за полдня, больше заняли рюшечки.
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Здравствуйте, Maxim! On Tue, Dec 03, 2002 at 10:55:10AM +0200, Maxim Mazurok wrote:
Ой. Их много :) cflowd, flow-tools, NeTraMet, Cisco NetFlowCollector - это только навскидку...
Насколько я понимаю, джентельмена интересует не коллектор, а реализация аккаунтинга имени netflow for PC.
один мой знакомый дописывает такую фигню по крайней мере у меня стоит в бэта-тестинге и работает, что самое смешное :) из всего, что я видел - этот вариант самый удобный для меня вешается на интерфейс и шлет netflow поток куда положено. впрочем, автор сам читает это, так что отзовется, я думаю :)
Макс, не хочу рекламировать сырую вещь... Потому как народ начнет тестить, находить глюки, которые нужно будет фиксить... а времени реально на активное развитие тулзы не хватает. :( Поэтому пишу, чисто в свое удовольствие и под собственные нужды... Может допишу до состояния, когда не стыдно паказать, тогда и покажу. :] -- With best regards! =============================================================================== Lance ANP-RIPE Mailto: lance@evitel.net =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, 3 Dec 2002, Andrey Pavlenko wrote: Однофамильцы, но насколько подход разный... :)
Макс, не хочу рекламировать сырую вещь... Потому как народ начнет тестить, находить глюки, которые нужно будет фиксить... а времени реально на активное развитие тулзы не хватает. :( Поэтому пишу, чисто в свое удовольствие и под собственные нужды... Может допишу до состояния, когда не стыдно паказать, тогда и покажу. :]
-- VP992-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, Dec 03, 2002 at 12:57:35PM +0300, Alexandre Snarskii wrote:
On Tue, Dec 03, 2002 at 11:44:15AM +0200, Vladimir A. Podgorny wrote:
On Tue, 3 Dec 2002, Alexandre Snarskii wrote:
А... Отвык уже от unix-based router'ов :) А самому написать ? :) Если не париться с аггрегированием (один проходящий пакет - одна entry, интерфейсы и as'ы всегда 0) - за полдня с перекурами думаю справиться можно...
А номер интерфейса-то чем не угодил? Да и по поводу AS-а тоже IMHO все
А тем, что залезть в net-snmp и узнать этот номер - это еще кусочек работы :) А иначе этот номер и не имеет значения. С as'ом - то же самое. Динамическую таблицу в таком коллекторе держать, честно говоря, лениво; водружать gated/zebra и узнавать номер as'а через них - еще ленивее, поэтому проще всего эмулировать "кошку без таблицы", и вписывать src_as==dst_as==0. Куда уж мне до ГУРУ пишущих flowd за пол дня:> Мне бы чегось попроще да НАПИЛЬНИК в руки:>
-- UNIX is user friendly. It's just very selective about who it's friends are Sincerely Yours, Andrey Loginov AVL40-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, 3 Dec 2002, Andrey V. Loginoff wrote:
Куда уж мне до ГУРУ пишущих flowd за пол дня:> Мне бы чегось попроще да НАПИЛЬНИК в руки:>
Тю на тебя. В аттаче - хедеры с описанием структуры netflow пакета и перловый скрипт, который это все разбирает. Написать нечто аналогичное, которое генерирует flow IMHO труда не должно составить... -- VP992-RIPE
On Tue, Dec 03, 2002 at 06:41:48PM +0200, Vladimir A. Podgorny wrote:
On Tue, 3 Dec 2002, Andrey V. Loginoff wrote:
Куда уж мне до ГУРУ пишущих flowd за пол дня:> Мне бы чегось попроще да НАПИЛЬНИК в руки:>
Тю на тебя. В аттаче - хедеры с описанием структуры netflow пакета и перловый скрипт, который это все разбирает. Написать нечто аналогичное, которое генерирует flow IMHO труда не должно составить...
Я все понимаю, Cisco - матерь всея Интернет и прочее... но не могу понять одного, а зачем на сугубо никсовом роутере эмулировать netflow. И криво к тому же. Без AS & etc. Не понимаю. Но хедера на всякий случай сохранил. ;))) Спасибо! -- Alex Radetsky AR2657-RIPE RAD-UANIC =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Wed, Dec 04, 2002 at 09:09:47AM +0200, Alex Radetsky wrote:
Я все понимаю, Cisco - матерь всея Интернет и прочее... но не могу понять одного, а зачем на сугубо никсовом роутере эмулировать netflow. И криво к тому же. Без AS & etc. Не понимаю.
А представь себе, что у тебя существующая инфраструктура accunting'а уже есть. Оттестирована, безглючна, хорошо увязана с бухгалтерией и прочим. Но ориентирована на netflow only. А тут по каким-то причинам появляется unix-based router... :))) Есть три варианта - а) убедить начальство поставить туда кошку (не всегда оправдано с точки зрения денег, хотя и всегда оправдано с точки зрения total cost of ownership), б) инкорпорировать какую-нибудь unix-считалку в систему accounting'а (граблей может быть достаточно много) в) заставить unix эмулировать cisco... :)) Что, jimho, в данном случае может и происходить... -- Alexandre Snarskii the source code is included. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Wed, Dec 04, 2002 at 10:48:45AM +0300, Alexandre Snarskii wrote:
Я все понимаю, Cisco - матерь всея Интернет и прочее... но не могу понять одного, а зачем на сугубо никсовом роутере эмулировать netflow. И криво к тому же. Без AS & etc. Не понимаю.
А представь себе, что у тебя существующая инфраструктура accunting'а уже есть. Оттестирована, безглючна, хорошо увязана с бухгалтерией и прочим. Но ориентирована на netflow only. А тут по каким-то причинам появляется unix-based router... :)))
При наличии вышеописанных условий - принимается. :) Убедил. -- Alex Radetsky AR2657-RIPE RAD-UANIC =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hello! Alexandre Snarskii wrote: > А представь себе, что у тебя существующая инфраструктура accunting'а > уже есть. Оттестирована, безглючна, хорошо увязана с бухгалтерией и Эх, давно я уже не видел безглючного софта :-) > прочим. Но ориентирована на netflow only. А тут по каким-то причинам А как народ борется с тем, что данные flow считаются до того как пакет пойдет в interface, и потенциально: - зарежется access list - дропнется, так как линия забита? В частности у нас периодчески возникают (возникали) большие разногласия с клиентами в случае если им кто-то делает packet flood с 10-Mbit интерфейса, а у клиента - 64K. В итоге с точки зрения NetFlow пы ему посылаем 10Mbit, что конечно неправда. WBR, Andrew =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, Dec 03, 2002 at 11:57:04PM -0800, Andrew Zhilenko wrote: > >А представь себе, что у тебя существующая инфраструктура accunting'а > >уже есть. Оттестирована, безглючна, хорошо увязана с бухгалтерией и > Эх, давно я уже не видел безглючного софта :-) > >прочим. Но ориентирована на netflow only. А тут по каким-то причинам > А как народ борется с тем, что данные flow считаются до того как пакет > пойдет в interface, и потенциально: > - зарежется access list > - дропнется, так как линия забита? > В частности у нас периодчески возникают (возникали) большие разногласия с > клиентами в случае если им кто-то делает packet flood с 10-Mbit интерфейса, > а у клиента - 64K. В итоге с точки зрения NetFlow пы ему посылаем 10Mbit, > что конечно неправда. Нужно быть более эгоистичным. В случаях, когда у меня возникают подобные трения с клиентами (например, если пакеты были подропаны по причине того, что клиент вообще в это время был offline, а якас пидлюка сканила или флудила в его сторону), я делаю морду лопатой и предлагаю пообщаться по этому поводу с кем-нибудь из манагеров, бо эти пакеты были получены нами в любом случае, а значит за них мы заплатили деньги, а раз уж клиент имеет статические "честные" адреса, а не засажен непойми куда, то уж пусть юбудет добр за эти адреса и отвечать по полной программе. Как правило, клиент успокаивается и, осознав с гордостью свою ответственность за какой-нибудь там /29 или даже /28, уходит просветленный. :) > WBR, Andrew -- V.Melnik =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
participants (11)
-
Alex Radetsky -
Alexandre Snarskii -
Andrew Zhilenko -
Andrey Pavlenko -
Andrey V. Loginoff -
Maxim Mazurok -
Michael Vasilenko -
Oleh Hrynchuk -
Valentyn Klindukh -
Vladimir A. Podgorny -
Vladimir Melnik