ARS 1000 Netflow

Only Flexible Netflow (FNF) is supported.

Ref : http://www.cisco.com/c/en/us/td/docs/routers/asr1000/release/notes/asr1k_rn_rel_notes/asr1k_feats_important_notes_313s.html#pgfId-3455900

Important Notes
The following sections contain important notes about Cisco ASR 1000 Series Aggregation Services Routers Release 3.13S.

End-of-Sale and End-of-Life of the Cisco Traditional NetFlow Feature
Cisco announces the end-of-sale and end-of-life of the Cisco Traditional NetFlow (TNF) Feature on the Cisco ASR1000 platform. Cisco will not have any future development, CLI support, TAC support, and documentation pertaining to the Cisco TNF feature beyond Cisco IOS XE Software Release 3.10.

Customers with the Cisco TNF feature on the Cisco ASR1000 platform are encouraged to migrate to the Cisco Flexible NetFlow (FNF) feature on the Cisco ASR1000 platform.

For details on transition to Cisco FNF, see the Migrating from Traditional to Flexible NetFlow white paper:

http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6555/ps6601/ps6965/white_paper_c11-545581.html

Basic config :

sampler TRAFFIC_ACCT_RATE
mode random 1 out-of 500

flow exporter NFSEN
destination 193.192.97.114
source Loopback0
transport udp 2055
export-protocol ipfix
!

flow monitor NFSEN
exporter NFSEN
record netflow-original
!

int X
ip flow monitor NFSEN sampler TRAFFIC_ACCT_RATE input
ip flow monitor NFSEN sampler TRAFFIC_ACCT_RATE output

nfdump

nfcapd : netflow dataları belli formatta kaydetmeyi sağlayan yakalama programı. Her bir kaynak için bir adet nfcapd deamon’ı çalışıyor.

nfdump : nfcapd ile kaydedilen verileri okumaya ve filtrelemeye yaratan program.

nfsen : nfcapd ile kaydeilen verileri, nfdump veya başla programlar aracılığı ile görsel olarka grafiklendirmeye yarayan program. ipfix veya v9 alanlarının düzgün okunması için nfdump extensionlarının enable edilmesi gerekir. nfsen.conf altında

$EXTENSIONS = ‘all’;

girilmelidir.

nfcapd el ile çalıştırılan bir program. Her bir kaynak için bir adet deamon’ın çalışması gereklidir. Bunların crontab’a eklenmesi için internet kaynaklar mevcuttur. Aslında nfsen kullanılarak bunu kendi kendine çalışır hale getirmek daha mantıklıdır. Bu şekilde grafik desteğide eklenmiş olur.

Peki el ile veriler üzerindeki anlizler nasıl yapılmalır. nfdump kullanılarak. Dikkat edilmesi gereken nfcapd ve nfdump versiyonlarının aynı olmasıdır. Aksi takdirde nfdump çalıştırıldığında veriyi okumayamaz.

nfdump ile bir çok filtre yazılabiliyor. Örnek filtreler ;

-A : trafiği guruplandırmak için. Bir çok seçeneğe göre guruplandırılabilir. srcip, srcnet, srcip4/netmask, vb gibi.

-s : Bunun anlatırken klavuzdan gideceğim;

-s statistic[:p][/orderby]

Generate the Top N flow or flow element statistic. statistic can be: ip,dstnet, inint vb.

-s ip :ip gore split et

-s ip:p : ip göre ve protocolo göre split et (TCP;UDP vb)

-s ip/bps : ip göre split et ve bps göre sırala.

Bu seçenek birden fazla kullanılabilir.

−s srcip −s ip/flows −s dstport/pps/packets/bytes −s record/bytes

-A yani aggregation kullanıldı ise bu kullanılmamalıdır. -A disable eder.

1 – Bir klasördeki tüm dosyaları okumak :

nfdump -R /data/nfsen/profiles-data/

Fakat analiz yaparken son dosyaları okumak daha iyi. Atak analizleri vs. gibi.

2 – Belli zaman aralıkdaki dosyaları okumak :

nfdump klavuzundan alıntı ;

/any/dir Read recursively all files in directory dir.
/dir/file Read all files beginning with file.
/dir/file1:file2 Read all files from file1 to file2.

When using in combination with a sub hierarchy:
/dir/sub1/sub2/file1:sub3/sub4/file2
Read all files from sub1/sub2/file1 sub3/sub4/file2 iterating over all required hierarchy levels.

Note: files are read in alphabetical sequence.

saat 1600 ile 1615 arasındakiler.

nfdump -R /data/nfsen/profiles-data/live/2015/01/21/nfcapd.201501211600:nfcapd.201501211615

3 – Belli networklere ait trafiği görmek ;

Filtrelemek için standart pcap filtreleri kullanılabilir. ipv4, host 192.168.1.2, host 192.168.1.2 and icmp’ gibi.

nfdump -R nfcapd.201505130000:nfcapd.201505131455 ‘net 192.168.0.0/16 or net 172.16.0.0/16’

4 – Flowları belli ozelliklerine gore guruplandırmak için -A ;

drtas için

nfdump -R /data/nfsen/profiles-data/live/2015/01/21/ -A dstas

 

5  – İlk 20 TCP flow’u listelemek için ;

-c 20 ‘proto tcp’

6 – En fazla bandwith tüketen ilk 20 ip adresini görmek için ;

-n 20 -s ip/bps

7 – port tarayan kaynak ip listesini görmek için ;

-A srcip,dstport -s record/packets ‘not proto icmp and bytes < 100

and bpp < 100 and packets < 5 and not port 80 and not port 53 Aggregated flows 72506

and not port 110 and not port 123′

8 – en fazla trafik alış verişi yapan /24 network’leri görmek için ;

-n 15 -A srcip4/24,dstip4/24 -s record/bytes

Kaynaklar ;

nfdump : http://nfdump.sourceforge.net

http://www.swinog.ch/meetings/swinog12/nfdump_swinog12.pdf

 

Cisco ASR1000 ve ASR9000 Netflow ile AS bilgisinin alınması

ASR 1000 : MPLS – MPLS packetlerini netflow ile gönderemiyor. IP-MPLS paketlerini gönderiyor. MPLS backbone’da, backbone interface’ini monitor edimiyorsunuz dolayısı ile.

ASR 9000 : flow-exporter ile v9/ipfix formatında gönderilebilyor. record ipv4 yazılır ise srcas ve dstas kullanılır ve srcas ile origin as bilgisine erişilebilir iken v9 record ipv4 peer-as ile ise ipfix formatında, next-as ve prev-as gönderiliyor ve peer as bilgisine erişiliyor. Örnek olarak transit peer’dan facebook trafiğini inceliyor iseniz ve netflow bilgisinde eğer record ipv4 kullanılmış ise bu durumda srcas bilgisinde facebook bilgisi görürsünüz. Fakat peer-as kullanılmış ise anonsu yapan transit as prevas olarak görülür. Genellik ile peering noktalarında kullanımı uygundur.

nfsen : http://nfsen.sourceforge.net : ipfix alanlarını anlaması için nfdump tüme ext veya gerekli olan ile kullanılmalı. Bunun için nfsen.conf içerisinde ;

$EXTENSIONS = ‘all’;

nfsen’de profil silmek için :

$BINDIR/nfsen -d <profile>

https://www.nanog.org/meetings/nanog39/presentations/Berthier.pdf

 

pmacct : http://www.pmacct.net