netflow和sflow可以侬钛卤眶帮助我们分析网络中的流量构成,抓取实施带宽使用情况,帮我们找出"hog"。作牾肟甘道为collector的软件一般都是收费的,例如solarwindsNTA,sflowTrend-Pro,ntopng商业版等。不过也有开源的解决方案,例如ntopng社区版和nfsen。
一、安装nfsen
1、1安装nginx+php-fpm,细节不说,需要的可以看我之前的blog文章,网上其他人的好文章也大把。
2、.2安装nfdump,nfsen其实是nfdump的前端展示,真正收集数据的是nfdump]#yuminstallnfdump
3、3安装艘绒庳焰nfsen]#tar-zxvfnfsen-1.3.7.tar.gz]#cdnfsen-1.3.7]#cpetc砖镑苣逢/nfsen-dist.confetc/nfsen.conf]#vi/etc/nfsen.conf===>$BASEDIR="/data/nfsen";===>$HTMLDIR="/var/www/nfsen";===>$WWWUSER="nginx";===>$WWWGROUP="nginx";===>$PREFIX='/usr/bin';===>%sources=(===>'H3C'=>{'port'=>'8603','col'=>'#0000ff','type'=>'sflow'},===>);]#mkdir-p/data/nfsen]#useraddnetflow-gnginx]#yuminstallperlperl-Sys-Syslogrrdtool-perlperl-Data-Dumperperl-MailToolsperl-Socket6]#vilibexec/NfProfile.pm===>nostrict'refs';]#./install.pletc/nfsen.conf]#cd/data/nfsen/bin]#./nfsenstart
二、nfsen界面介绍
1、通过http://x.x.x.x/nfsen.php访问NFSEN显示接口如下:
2、点击需要查看的流量图(分为:flows/packets/bits),进入详细页面,依次选取TimeWindow模式、时间范围、Flow过滤条件以及呈现方式,结果如下图:
3、在Details的页面上方,将流量区分为TCP/UDP/ICMP与other四种p筠续师诈rotocol类型。点了任何一种protocl,都会伍啪怪顼显示对应的流量于其下主要的大图里。而flow/packet/流量三种类型的流量则可透过右侧的小流量图来进行切换。下方Display旁的浏览列功能按钮,提供用户以鼠标拖拉时间轴外的另一种操作选择。最下方的统计数据则显示了时间范围内三种类型流量的总和或速率
三、使用方法
1、现有NFSEN主要功能为在网络设备上抓取部分数据进行流程和包的分析,以下介绍分析网络中异常流量ip的具体方法:由Home或Graphs的Traffic抓取某一时间段流量比较大IP的详细情况
2、1.筛选某一时间段所有查询流量异常ip。
3、2.通过筛选得知所选时间段内流量最大的主机的IP是10.25.128.116
4、3.通过ip查询该该流量的具体流向找到大户后,接下来要确认的是该用户是以发送端还是接收端在占用流量?以tcpprotocol及srcip10.25.128.116的条件查询其流量
5、改以tcpprotocol及dstip10.25.128.116的方式确认其流量。
6、经过比对,做为发送端的流量只有6.2G,做为接收端的流量则有422G;很明显的10.25.128.116是做为接收端在下载流量。改以ListFlow来查看来源与目的间的关系。
7、发现10.25.128.116主要以12182port方式在下载10.25.116.96的数据和以39560port方式在下载10.25.116.94prototcpanddstip10.25.128.116andsrcport39560
8、prototcpanddstip10.25.128.116andsrcport12182最终由流量来看,10.25.128.116是下载流量最大的ip,其中下载来之10.25.115.96的流量205G,下载来之10.25.115.94的流量217G。
