[MASOCH-L] nfsen+nfdump
Rodrigo Augusto
rodrigo at 1telecom.com.br
Mon Sep 29 10:06:45 -03 2014
** nfdump -M /var/nfsen/profiles-data/live/russas -T -r
2014/09/29/nfcapd.201409290840 -a -B -c 20
nfdump filter:
proto udp and src port 53
Date first seen Duration Proto Src IP Addr:Port
Dst IP Addr:Port Out Pkt In Pkt Out Byte In Byte Flows
No matched flows
Isso é que me intriga, pedí que ele me dissesse a porta 53 e o seu
tráfego, porém ou fiz algo errado ou realmente tem coisa errada no
coletor.
Alguém pode ajudar?
Rodrigo Augusto
Gestor de T.I. Grupo Connectoway
http://www.connectoway.com.br <http://www.connectoway.com.br/>
http://www.1telecom.com.br <http://www.1telecom.com.br/>
* rodrigo at connectoway.com.br
( (81) 3366-7376
( (81) 8184-3646
( INOC-DBA 52965*100
On 29/09/14 09:57, "Rodrigo Augusto" <rodrigo at 1telecom.com.br> wrote:
>Pessoal, bom dia! Coloquei o Nfsen + nfdump para rodar em um debian. Até
>entao tudo blz. Joguei o switch( um ex3300 juniper que a partir da versao
>12.xr1 já exporta sflow). Na configuracao do nfsen.conf fiz a seguinte
>linha:
>%sources = (
>
> 'russas' => { 'port' => '9991', 'col' => '#0000ff', 'type' =>
>'sflow'
>},
>
>
>
>E no sw fiz o export para esta porta na interface específica. Vejo trafego
>entrando e gerando graficos no nfsen, porém tentei executar alguns filtros
>para ver tráfego http etc( para testar) e nao consegui ver nada.
>
>O que mais tenho que fazer para por exemplo: visualizar possíveis ataques
>em
>uma interface de 10GB ( onde passam as VLANS ) e para qual ip está
>indo/vindo o ataque?
>
>
>
>
>Rodrigo Augusto
>Gestor de T.I. Grupo Connectoway
>http://www.connectoway.com.br <http://www.connectoway.com.br/>
>http://www.1telecom.com.br <http://www.1telecom.com.br/>
>* rodrigo at connectoway.com.br <mailto:rodrigo at connectoway.com.br>
>( (81) 3366-7376
>( (81) 8184-3646
>( INOC-DBA 52965*100
>
>
>__
>masoch-l list
>https://eng.registro.br/mailman/listinfo/masoch-l
>
More information about the masoch-l
mailing list