Tcpdump - Netflow
Tcpdump - Netflow

Tcpdump ile Netflow Sürümünü Görmek

Merhaba,

Linux tabanlı sunucumuza gelen Netflow trafiği varsa ve bu trafiği tcpdump ile görebiliyorsak her şey yolunda gibi görünebilir. Ancak bir şekilde bu trafiği parse edemiyor olabiliriz. Bu da genellikle gelen Netflow trafiğinin formatının veya versiyonunun hatalı olmasından kaynaklanıyor olabilir.

Gelen Netflow trafiğinin versiyonunu görmek için aşağıdaki komut kullanılabilir:
sudo tcpdump -i eth0 -n udp port 9995 -T cnfp
Yukarıdaki komutta “-i” ile interface belirliyoruz; “any” olarak da kullanılabilir. Port bilgisini “port” parametresinden sonra tanımlıyoruz; burada “9995” kullanıldı.

 

Yeri gelmişken Netflow sürümlerinden de bahsetmiş olalım:

 

Netflow Sürümleri

v1 : İlk uygulama olup IP mask ve AS numaralarını desteklemez.
v2 : Cisco test sürümü olup yayınlanmamıştır.
v3 :Cisco test sürümü olup yayınlanmamıştır.
v4 : Cisco test sürümü olup yayınlanmamıştır.
v5 : En yaygın sürüm olmakla birlikte sadece IPv4 desteği sunmaktadır.
v6 : Cisco tarafından desteği kaldırılmıştır.
v7 : v5 içeriğine sahip olup Cisco “Catalyst Swtich”lerde kullanılmaktadır.
v8 : v5 bilgilerini çeşitli gruplar halinde sunulması sağlanmıştır.
v9 : Şablon temellidir ve güncel yönlendiriciler (router) tarafından desteklenir. MPLS ve IPv6 bilgisi ie BGP next-hop bilgisi içerir.
IPFIX : IETF standardı olup v9 baz alınarak geliştirilmiştir.

 

Saygılarımla.

%%footer%%