海运的博客

Linux下NetFlow输出工具Fprobe

发布时间:October 27, 2012 // 分类:常用软件 // 4 Comments

Fprobe通过libpcap监听数据并输出NetFlow格式到分析端,极大方便网络管理及监控。
所需组件安装:

yum install libpcap-devel

Fprobe安装:

wget http://sourceforge.net/projects/fprobe/files/fprobe/1.1/fprobe-1.1.tar.bz2
tar jxvf fprobe-1.1.tar.bz2
cd fprobe-1.1/
./configure 
make
make install

Fprobe监听eth0数据并输出NetFlow到127.0.0.1:9995:

fprobe -i eth0 127.0.0.1:9995

NetFlow分析端可使用Nfsen,测试下是否有Netflow数据输出:

tcpdump -i lo -nn port 9995
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 96 bytes
14:49:33.004041 IP 127.0.0.1.57368 > 127.0.0.1.9995: UDP, length 1464
14:49:43.006334 IP 127.0.0.1.57368 > 127.0.0.1.9995: UDP, length 1464
14:49:48.003252 IP 127.0.0.1.57368 > 127.0.0.1.9995: UDP, length 264
14:49:53.002271 IP 127.0.0.1.57368 > 127.0.0.1.9995: UDP, length 744
14:49:58.002295 IP 127.0.0.1.57368 > 127.0.0.1.9995: UDP, length 456

此内容被密码保护

发布时间:October 27, 2012 // 分类:Cacti // No Comments

请输入密码访问

Apache/Httpd防DDOS/CC模块mod_evasive安装

发布时间:October 23, 2012 // 分类:Apache // No Comments

Apache模块mod_evasive利用Hash表储存相应的HTTP请求,利用设定规则判断是否拒绝对方的请求。
安装:

#https://www.haiyun.me
wget http://www.zdziarski.com/blog/wp-content/uploads/2010/02/mod_evasive_1.10.1.tar.gz
tar zxvf mod_evasive_1.10.1.tar.gz 
cd mod_evasive/
apxs -i -a -c mod_evasive20.c
#编译、安装、并加载模块

配置mod_evasive:

<IfModule mod_evasive20.c>
    DOSHashTableSize    3097 #表大小
    DOSPageCount        2 #限制单位时间内同一IP请求同一网页次数
    DOSSiteCount        10 #限制单位时间内同一IP请求网站次数
    DOSPageInterval     1 #网页存取间隔
    DOSSiteInterval     1 #网站存取间隔
    DOSBlockingPeriod   10 #限制访问时间
    DOSEmailNotify     #疑似攻击时邮件通知
    DOSSystemCommand "su - onovps -c iptables -I INPUT -s %s --dport 80 -j DROP" 
    #疑似攻击时用防火墙限制IP访问80端口
    DOSLogDir  "/var/log/    #日志目录
    DOSWhiteList 127.0.0.1 #添加白名单
</IfModule>

重启Apache生效:

/etc/init.d/httpd restart

同时作者还提供了一个测试程序用以测试mod_evasive是否生效:

perl test.pl 
HTTP/1.1 200 OK
HTTP/1.1 403 Forbidden

Netflow分析工具Nfsight安装

发布时间:October 23, 2012 // 分类:流量监控 // 2 Comments

Nfsight分为两部分,后端以Nfsen插件安装,前端以PHP显示分析图表。
安装Perl Mysql支持:

yum install perl-DBD-MySQL

后端Nfsen插件安装:

wget http://sourceforge.net/projects/nfsight/files/nfsight-beta-20110908.tgz
tar zxvf nfsight-beta-20110908.tgz 
cd nfsight-beta-20110908/
cp backend/nfsight.pm /usr/local/nfsen/plugins/
mkdir /usr/local/nfsen/plugins/nfsight
chown -R apache:apache /usr/local/nfsen/plugins/nfsight

前端Web安装:

cp -r frontend/ /var/www/html/nfsight
chown -R apache:apache /var/www/html/nfsight

新建Mysql数据库Nfsight:

mysql -u root -p -e "create database ngsight;"

然后通过浏览器访问www.haiyun.me/nfsight/installer.php安装提示进行安装,最后将屏幕出现的配置信息添加到Nfsen配置文件。

@plugins = (
    # profile    # module
    # [ '*',     'demoplugin' ],
      [ 'live',   'PortTracker'], 
      [ '*', 'nfsight' ],  
);

%PluginConf = (
    nfsight => {
        path => "/usr/local/nfsen/plugins/nfsight",
        expiration => "180",
        network => {
            "192.168.1.0" => "24",
        },
        scanner_limit => "5",
        print_int_scanner => "1",
        print_ext_scanner => "1",
        print_int_client => "1",
        print_ext_client => "1",
        print_int_server => "1",
        print_ext_server => "1",
        print_int_invalid => "1",
        print_ext_invalid => "1",
        sql_host => "localhost",
        sql_port => "3306",
        sql_user => "nfsight",
        sql_pass => "nfsight",
        sql_db => "nfsight",
    },
);

重启Nfsen加载Nfsight插件:

/usr/local/nfsen/bin/nfsen reload

查看插件是否加载成功:

grep -i nfsight /var/log/messages
Oct 23 11:30:12 master nfsen[28085]: Loading plugin 'nfsight': Success

添加计划任务:

06 * * * *  wget --no-check-certificate -q -O - http://management:aggregate@127.0.0.1/nfsight/aggregate.php

还有默认登录nfsight主界面或设置界面会联网检查是否有新版本,可通会有点慢,可禁用此功能。

cat /var/www/html/nfsight/config.php 
"check_version"=>      "0",

效果图如下:
nfsight分析netflows网络状态.png

使用sFlowTrend监控XenServer服务器

发布时间:October 22, 2012 // 分类:虚拟化 // No Comments

服务器端安装Host sFlow Agent代理客户端,用作发送sFlow数据到sFlowTrend分析端,支持多种Windows/Linux/Uinx系统。
Host sFlow下载地址:http://host-sflow.sourceforge.net/
sFlowTrend下载地址:http://www.inmon.com/products/sFlowTrend.php
XenServer6可直接安装Host sFlow,XenServer5要先配置为Open vSwitch模式支持sFlow

wget http://downloads.sourceforge.net/project/host-sflow/REL-1_22/hsflowd_XenServer_56FP2-1.22.2-1.i386.rpm
rpm -ivh hsflowd_XenServer_56FP2-1.22.2-1.i386.rpm

配置Host sFlow:

cat /etc/hsflowd.conf 
#https://www.haiyun.me
sflow {
  DNSSD = off
  polling = 20
  sampling = 512
collector {
  ip = 192.168.1.155
  udpport = 6343
   }
}

启动Host sFlow Agent:

/etc/init.d/hsflowd start

然后在sFlowTrend配置代理端,不久即可看到监控的数据:
sFlowTrend监控服务器.png
sFlowTrend图表监控服务器.png
分析XenServer虚拟交换机sFlow数据:

ovs-vsctl -- --id=@sflow create sflow agent=xenbr0 targe=\"192.168.1.155:6343\" header=128 sampling=512 polling=30 \
-- set bridge eth0 sflow=@sflow

sflowtrend分析sflows网络流量.png

  1. 1
  2. ...
  3. 128
  4. 129
  5. 130
  6. 131
  7. 132
  8. 133
  9. 134
  10. ...
  11. 193
分类
最新文章
最近回复
  • 海运: 恩山有很多。
  • swsend: 大佬可以分享一下固件吗,谢谢。
  • Jimmy: 方法一 nghtp3步骤需要改成如下才能编译成功: git clone https://git...
  • 海运: 地址格式和udpxy一样,udpxy和msd_lite能用这个就能用。
  • 1: 怎么用 编译后的程序在家里路由器内任意一台设备上运行就可以吗?比如笔记本电脑 m参数是笔记本的...
  • 孤狼: ups_status_set: seems that UPS [BK650M2-CH] is ...
  • 孤狼: 擦。。。。apcupsd会失联 nut在冲到到100的时候会ONBATT进入关机状态,我想想办...
  • 海运: 网络,找到相应的url编辑重发请求,firefox有此功能,其它未知。
  • knetxp: 用浏览器F12网络拦截或监听后编辑重发请求,修改url中的set为set_super,将POS...
  • Albert: 啊啊啊啊啊啊啊啊啊 我太激动了,终于好了英文区搜索了半天,翻遍了 pve 论坛没找到好方法,博...
归档