49 lines
1.6 KiB
Markdown
49 lines
1.6 KiB
Markdown
**Cette page a été importée automatiquement de notre ancien wiki mais n'a pas encore été révisée.**
|
|
|
|
# Howto !nfdump
|
|
|
|
Documentation officielle : <http://nfdump.sourceforge.net/>
|
|
|
|
## installation
|
|
|
|
~~~
|
|
# apt install nfdump
|
|
~~~
|
|
|
|
## Collecter les flows
|
|
|
|
Il faut au préalable avoir configuré l'export des flows sur vos routeurs et avoir un collecteur de flow en place.
|
|
|
|
Un collecteur (nfcapd) est fourni avec nfdump. On peut le faire écouter de la façon suivante :
|
|
|
|
~~~
|
|
nfcapd -w -D -p 9996 -B 200000 -S 1 -z -I routeur -l /opt/nflow/routeur
|
|
~~~
|
|
|
|
|
|
## Analyser les flows
|
|
|
|
Lister toutes les connexions vers le port 80 :
|
|
|
|
~~~
|
|
nfdump -M /opt/nflow/routeur -T -R 2016/09/07/nfcapd.201609070315:2016/09/07/nfcapd.201609070320 -o extended 'proto tcp and ( src port > 1024 and dst port 80 )'
|
|
~~~
|
|
|
|
|
|
Lister toutes les connexions vers le port 80 de l'IP 1.2.3.4 :
|
|
|
|
~~~
|
|
nfdump -M /opt/nflow/routeur -T -R 2016/09/07/nfcapd.201609070315:2016/09/07/nfcapd.201609070320 -o extended 'proto tcp and host 1.2.3.4 and ( src port > 1024 and dst port 80 )'
|
|
~~~
|
|
|
|
Lister toutes les connexions vers le port 80 de l'IP 1.2.3.4 et aggréger sur l'IP source :
|
|
|
|
~~~
|
|
nfdump -M /opt/nflow/routeur -T -R 2016/09/07/nfcapd.201609070315:2016/09/07/nfcapd.201609070320 'proto tcp and host 1.2.3.4 and ( src port > 1024 and dst port 80 )' -A srcip
|
|
~~~
|
|
|
|
Lister toutes les connexions vers le port 80 de l'IP 1.2.3.4 et faire une somme :
|
|
|
|
~~~
|
|
nfdump -M /opt/nflow/routeur -T -R 2016/09/07/nfcapd.201609070315:2016/09/07/nfcapd.201609070320 'proto tcp and host 1.2.3.4 and ( src port > 1024 and dst port 80 )' -s srcip
|
|
~~~ |