Una vez hecho esto, la flecha de seleccion vertical y la linea en la ventana grafica se puede dividir.
El router esta enviando registros netflow a uno de sus PCs, y este PC ejecuta NFSen para recoger estos datos. Si esta trabajando en pareja, entonces ambos deben apuntar su navegador web al PC que recibe los flujos:
http://pcX.ws.nsrc.org/nfsen/nfsen.php
En primer lugar, tenemos que generar algo de trafico que pase a través de su router. En cualquiera de los PC (no tiene que ser donde esta funcionando NFSen), Iniciar sesion y escriba los siguientes comandos:
$ cd /tmp
$ wget http://noc.ws.nsrc.org/downloads/BigFile
$ rm BigFileTomara alrededor de 5 minutos antes de que se muestre un aumento en NFSen.
Ahora vamos a usar NFSen para explorar los flujos de trafico en la red, con el objetivo de averiguar quien ha descargado la mayor cantidad de datos. Mire cuidadosamente en la salida generada en cada paso - pedir a un instructor explicar si no entiende lo que ve.
La pagina de inicio de NFSen muestra una matriz de graficos: flujos por segundo a la izquierda, paquetes por segundo en el medio, los bits por segundo a la derecha. Hacer clic en el grafico de arriba a la derecha (bits por segundo, vista de un dia) para llegar a la pagina de Detalle.
Cambiar de "Intervalo de tiempo individual" a "ventana de tiempo":
Una vez hecho esto, la flecha de seleccion vertical y la linea en la ventana grafica se puede dividir.
Tire de la mitad izquierda de la flecha hacia la izquierda y de la mitad derecha a la derecha para seleccionar el periodo de tiempo de interes. Entonces usted deberia ver algunas estadisticas de resumen aparecer en la tabla debajo del grafico, por el periodo de tiempo que haya seleccionado:
Summary statistics
Seleccione "Lista de flujos", asegurese de que ninguna de las casillas "agregado" estén activadas y, a continuacion, haga clic en 'proceso'. Esto mostrará algunos flujos al comienzo del periodo de tiempo.
List flows
Aumentar el limite de 20 flujos hasta 100 flujos. Observe que la mayor parte de trafico de la red se compone de un gran numero de flujos muy pequeños - por ejemplo, una consulta/respuesta DNS sera dos flujos, uno desde el cliente al servidor DNS, y uno de vuelta.
Al seleccionar "bidireccional", usted puede con Nfsen conseguir asociar los flujos de entrada y de salida en una sola linea:
Bi-directional flows
Sin embargo, todavia cuesta demasiado trabajo usar esta vista para buscar trafico interesante. Desmarque la casilla "bidireccional" antes de continuar.
Si sabemos que host queremos examinar, podemos aplicar un filtro para mostrar solo los flujos desde y hacia ese host. Hacer esto mediante la introduccion de "host 10.10.X.Y" en la caja de filtro, y despues 'presionar' proceso de nuevo. (Reemplace 10.10.X.Y con la direccion de uno de sus equipos)
Flows to and from one host
Esto es un poco mejor, pero todavia tendria que buscar a traves de un monton de pequeños flujos para encontrar algo significativo. Tenemos que tomar un enfoque diferente.
La siguiente cosa que podemos hacer es conseguir que NFSen ordene los flujos segun el número de bytes. Quite cualquier filtro de la caja de filtro, seleccione "Stat TopN", las estadisticas "Flow Records", orden por "Bytes". Asegurese de que todas las casillas de agregados estan sin activar, a continuacion, pulse proceso
Find top flows by bytes
Output: top flows by bytes
Esta es una mejora definitiva, ya que los flujos con el mayor numero de bytes se muestran primero. Sin embargo hay un problema - todavia estamos viendo flujos individuales. Es posible que muchos pequeños caudales hacia la misma máquina se sumen a una gran cantidad de trafico, pero no los veriamos en la parte superior de la lista.
Lo que queremos ver es una sola linea para cada host en la red, que muestre la cantidad total de tráfico entregado a ese host.
Para hacer esto, Stat "DST IP Address", ordenar por "bytes".
Group flows by DST IP Address
Esto está mucho más cerca de lo que queremos: hay una línea para cada dirección IP de destino, y que estan clasificadas por el total de bytes, el mayor primero.
Pero todavia hay un problema - ¿puede ver cuál? Estamos viendo una mezcla de los flujos de entrada (donde la IP de destino esta dentro de la red) y de flujos salientes (cuando la IP de destino esta en la Internet). Solo estamos interesados en los flujos de entrada, por lo que se aplica un filtro que solo muestra el trafico a la red de su grupo: "dst net 10.10.X.0/24" (reemplace X con el número de su grupo)
Flows to local network, grouped by DST IP Address
Output: Flows to local network, grouped by DST IP Address
Por fin tenemos lo que queremos. El primer registro que ves deberia decir la maquina local que ha descargado mas datos en el periodo seleccionado.
Pregunta: ¿qué cambios hay que hacer a esta consulta para averiguar que maquinas de la red estan subiendo la mayor cantidad de datos a Internet?
Ahora que sabemos que host ha descargado mas datos, podriamos querer ver desde donde ha estado descargando.
Vamos a empezar mirando los mejores flujos hacia ese host. Cambie el filtro "dst host 10.10.X.Y" (la direccion IP que acaba de encontrar). A continuacion, seleccione las estadisticas "Flow Records", ordenadas por "bytes", y 'proceso'.
Largest flows to one host
Ahora debe ver los flujos de entrada a ese host, el mayor primero. Pero, de nuevo, solo estamos viendo grandes flujos individuales; una coleccion de pequeños flujos puede sumar a una gran cantidad de trafico.
Ya que solo estamos viendo los registros de flujo a una direccion IP de destino particular, podemos agrupar los registros por la direccion IP de origen.
Flows to one host, grouped by SRC IP address
Output: Flows to one host, grouped by SRC IP address
Y ahora tenemos una fila para cada direccion IP de donde este host ha estado descargando, con el numero total de bytes descargados de cada IP, el mayor total primero.
Al hacer clic en una direccion IP, podra obtener informacion del DNS inverso y del whois.
Whois information
NFSen ofrece algunas otras maneras de resumir los flujos, utilizando los Aggregate checkboxes. En este ejemplo vamos a ver de nuevo en el trafico de entrada a la red.
Al hacer clic en una o mas de las casillas de agregados, NFSen combina todas flujos que comparten los mismos valores del atributo (s) que ha seleccionado.
Para comenzar este ejercicio, configurar el filtro para "dst net 10.10.X.0/24" (X = su grupo). Seleccione "Stat TopN" Estadisticas "Flow Records", ordenados por "bytes". A continuacion, intente los siguientes agregados, recordando hacer clic en 'proceso' despues de cada uno.
Marque "proto". Usted debe obtener una sola fila para TCP, UDP e ICMP, mostrando la cantidad total de trafico que utiliza cada protocolo. A veces esto puede mostrar otros protocolos que estan activos en la red (por ejemplo, el protocolo 50 = IPSEC ESP, en Linux el archivo '/etc/protocols' tiene una lista de los servicios)
marque tanto "proto" y "srcport". Esto le dice a NFSen que combine conjuntamente flujos que tienen el mismo proto * y * el mismo srcport. Dependiendo de la actividad que ha estado sucediendo, es posible que vea una linea que da el total para el puerto TCP 80, una linea para el puerto TCP 443, una linea para el puerto UDP 53, y asi sucesivamente.
Marque "SrcIP" por si mismo. Esto le da una fila para cada direccion IP de origen/distinto, y es lo mismo que seleccionar Estadistica SRCIP.
marque tanto "SrcIP" y "dstip". Usted recibira una fila para cada par unico de SrcIP y dstip visto, con el trafico total entre esos dos extremos.
Como cambiar el filtro para mirar el trafico de salida, en lugar de trafico de entrada
Si usted tiene un router con una tabla BGP, puede agregar registros netflow por numero AS. Esta es una manera util para saber con que redes esta intercambiando la mayor parte del trafico.