nfcapd : netflow dataları belli formatta kaydetmeyi sağlayan yakalama programı. Her bir kaynak için bir adet nfcapd deamon’ı çalışıyor.
nfdump : nfcapd ile kaydedilen verileri okumaya ve filtrelemeye yaratan program.
nfsen : nfcapd ile kaydeilen verileri, nfdump veya başla programlar aracılığı ile görsel olarka grafiklendirmeye yarayan program. ipfix veya v9 alanlarının düzgün okunması için nfdump extensionlarının enable edilmesi gerekir. nfsen.conf altında
$EXTENSIONS = ‘all’;
girilmelidir.
nfcapd el ile çalıştırılan bir program. Her bir kaynak için bir adet deamon’ın çalışması gereklidir. Bunların crontab’a eklenmesi için internet kaynaklar mevcuttur. Aslında nfsen kullanılarak bunu kendi kendine çalışır hale getirmek daha mantıklıdır. Bu şekilde grafik desteğide eklenmiş olur.
Peki el ile veriler üzerindeki anlizler nasıl yapılmalır. nfdump kullanılarak. Dikkat edilmesi gereken nfcapd ve nfdump versiyonlarının aynı olmasıdır. Aksi takdirde nfdump çalıştırıldığında veriyi okumayamaz.
nfdump ile bir çok filtre yazılabiliyor. Örnek filtreler ;
-A : trafiği guruplandırmak için. Bir çok seçeneğe göre guruplandırılabilir. srcip, srcnet, srcip4/netmask, vb gibi.
-s : Bunun anlatırken klavuzdan gideceğim;
-s statistic[:p][/orderby]
Generate the Top N flow or flow element statistic. statistic can be: ip,dstnet, inint vb.
-s ip :ip gore split et
-s ip:p : ip göre ve protocolo göre split et (TCP;UDP vb)
-s ip/bps : ip göre split et ve bps göre sırala.
Bu seçenek birden fazla kullanılabilir.
−s srcip −s ip/flows −s dstport/pps/packets/bytes −s record/bytes
-A yani aggregation kullanıldı ise bu kullanılmamalıdır. -A disable eder.
1 – Bir klasördeki tüm dosyaları okumak :
nfdump -R /data/nfsen/profiles-data/
Fakat analiz yaparken son dosyaları okumak daha iyi. Atak analizleri vs. gibi.
2 – Belli zaman aralıkdaki dosyaları okumak :
nfdump klavuzundan alıntı ;
/any/dir Read recursively all files in directory dir.
/dir/file Read all files beginning with file.
/dir/file1:file2 Read all files from file1 to file2.
When using in combination with a sub hierarchy:
/dir/sub1/sub2/file1:sub3/sub4/file2
Read all files from sub1/sub2/file1 sub3/sub4/file2 iterating over all required hierarchy levels.
Note: files are read in alphabetical sequence.
saat 1600 ile 1615 arasındakiler.
nfdump -R /data/nfsen/profiles-data/live/2015/01/21/nfcapd.201501211600:nfcapd.201501211615
3 – Belli networklere ait trafiği görmek ;
Filtrelemek için standart pcap filtreleri kullanılabilir. ipv4, host 192.168.1.2, host 192.168.1.2 and icmp’ gibi.
nfdump -R nfcapd.201505130000:nfcapd.201505131455 ‘net 192.168.0.0/16 or net 172.16.0.0/16’
4 – Flowları belli ozelliklerine gore guruplandırmak için -A ;
drtas için
nfdump -R /data/nfsen/profiles-data/live/2015/01/21/ -A dstas
5 – İlk 20 TCP flow’u listelemek için ;
6 – En fazla bandwith tüketen ilk 20 ip adresini görmek için ;
7 – port tarayan kaynak ip listesini görmek için ;
-A srcip,dstport -s record/packets ‘not proto icmp and bytes < 100
and bpp < 100 and packets < 5 and not port 80 and not port 53 Aggregated flows 72506
and not port 110 and not port 123′
8 – en fazla trafik alış verişi yapan /24 network’leri görmek için ;
-n 15 -A srcip4/24,dstip4/24 -s record/bytes
Kaynaklar ;
nfdump : http://nfdump.sourceforge.net
http://www.swinog.ch/meetings/swinog12/nfdump_swinog12.pdf