LINUX.ORG.RU

Ищется программа для анализа трафика

 


0

1

Дано: пограничный маршрутизатор(PC), 3 аплинка, с каждым линк по BGP.

Что хотелось бы:
1) снимать статистику по проходящему трафику по интерфейсам, тут все уже ясно - vnstatd для общего объема, netflow - для детального. Если есть еще идеи, которые можно интегрировать в нижеследующие хотелки - welcome в обсуждение.
2) генерация отчета по трафику за разные периоды в разрезе по AS/входящему/исходящему интерфейсу. Конкретно интересует что-то вида: «Входящий трафик с AS8888 на интерфейсе eth1 составил 5% от всего входящего за месяц»
3) веб-интерфейс для просмотра всего этого. Если будут присутствовать графики, в которые можно ткнуть начальство - вообще зачет;
4) неогороженная лицензия. Чтоб можно было допилить под свои нужды

Что хотел бы услышать/не услышать от ЛОРовцев:

1) не хотелось бы услышать: «напиши сам». Дописать - не проблема, а вот написать с нуля - это другое.
2) хотелось бы услышать о том - какие системы(и под какими лицензиями) существуют. Допускается к рассмотрению и проприетарный софт, но очень нежелательно, т.к. тогда отпадает пункт №4.

★★★★★

nfdump/nfsen может под это дело подойти в теории. Но от nfsen я только картинки видел. Отчёт по его реальной эксплуатации почитать бы не отказался. ;-)

AS ★★★★★ ()

А по поводу netflow и AS встречный вопрос: ipt_netflow это умеет ? Или сенсор другой ?

AS ★★★★★ ()
Ответ на: комментарий от AS

ipt_netflow этого точно НЕ умеет. С патчем умеет экспортировать в качестве src и dst AS тот AS number, что указан при загрузке модуля - но это, как понимаешь, не вариант :-(

Pinkbyte ★★★★★ ()

хм. нашел вот такую штуку - http://www.pmacct.net
кто нибудь может поделиться историей успеха? Судя по документации - она умеет вести себя как «пассивный» BGP peer, сопоставляя данные NetFlow и данные из full-view от BGP(для поиска номером автономных систем)

Pinkbyte ★★★★★ ()

снифать трафик tcpdump-ом с соответствующими правилами фильтрации, анализировать wireshark-ом, не?

Harald ★★★★★ ()
Ответ на: комментарий от Harald

снифать трафик tcpdump-ом

Непромышленный вариант - нагрузка большая будет. И, вообще, всё, что связано с libpcap - не то. Хотя, на самом деле, есть PF-RING, обещают dramatically improves the packet capture speed. Но это надо с ним всё пересобирать.

AS ★★★★★ ()
Ответ на: комментарий от Pinkbyte

хм. нашел вот такую штуку - http://www.pmacct.net

Что-то не соображу, как она может определить, с какого пира пришёл пакет. Куда уйдёт - это по BGP-таблице понять можно, а вот откуда пришёл, это только сенсор знать может, как мне представляется. В смысле, если интересно, с какого пира.

AS ★★★★★ ()
Ответ на: комментарий от AS

эта штука - она и сенсор, и коллектор, и ретранслятор Netflow + пассивный BGP-сосед. Web-интерфейса у нее нет, но консольный выхлоп вроде имеется, а дальше думаю шелл-скриптами статистику снимать - мне ж не в realtime...

Pinkbyte ★★★★★ ()
Ответ на: комментарий от Harald

150-250 Mbit/sec на Dual Core tcpdump осилит? При том что на этом тазике еще шейпер и немного NAT

Pinkbyte ★★★★★ ()
Ответ на: комментарий от Pinkbyte

попытка не пытка :) протесть, потом доложи о результатах :)

Harald ★★★★★ ()
Ответ на: комментарий от Harald

да чо тут тестить - тестовый тазик аналогичной мощности ложится уже при 120 Mbit/sec и то, если очень сильно заморочиться тюнингом сетевых настроек. Втопку кароче :-)

Pinkbyte ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.