September 20

Softwarebasiertes Netflow

Wenn man seinen Traffic mal ordentlich überwachen möchte aber keinen Zugriff auf die Switche&Co hat, muss man nicht auf Netflow verzichten.
Eine Alternative gibt es per FProbe, eine softwarebasierte Netflow-Probe.

Installation läuft auf Ubuntu einfach ab:

apt-get install fprobe

Danach muss dann nur noch die Config nach den eigenen Wünschen angepasst werden, auch hier gibt’s nicht viel zu tun:
INTERFACE="eth0" #Hier muss das zu überwachende Interface rein
FLOW_COLLECTOR="123.456.789.0:9996"
# Hier die Adresse inkl. Port vom
# Netflow-Collector hin, also z.B. der nfcapd Server

Der Rest kann so bleiben, wie er ist. Fertig!

 

Da ich seit kurzem Besitzer eines Freifunk-Routers vom Freifunk Bielefeld (anschauen lohnt!) bin, wollte ich auch hier mal einen Blick auf den Traffic haben,
der so über die Kiste wandert. In meinem Fall ist das ein TP-Link TL-WR841N v9. Der Speicherplatz und die Rechenleistung sind natürlich recht begrenzt, reicht aber.

Vorab natürlich die klare Ansage: keine Gewähr für dieses Vorhaben. Wenn der Router davon in die Dutten geht, ist das allein eurem Basteldrang geschuldet 🙂

Hier muss zumindest in der aktuellen FW 0.3.1 mit OpenWRT 12.09.1 der Pfad der OpenWRT Paketliste korrigiert werden. Dieser steht werksseitig noch auf
http://downloads.openwrt.org/attitude_adjustment/12.09.1/ar71xx/generic/packages – den Pfad gibt’s aber so nicht, die .1 ist da zuviel des Guten.

Also im ersten Schritt die /etc/opkg.conf anpassen, sodass dieser Pfad hinterlegt ist:
http://downloads.openwrt.org/attitude_adjustment/12.09/ar71xx/generic/packages

Danach mit opkg update einmal die Paketliste runterladen, das kann ein paar Sekunden dauern.
Ist das erledigt, muss fprobe mit dem Befehl opkg install fprobe heruntergeladen werden, in den meisten Fällen muss dazu noch libpcap heruntergeladen werden – sofern nötig erledigt das OpenWRT jedoch von selbst.

Gestartet wird das Ganze dann mit
/usr/bin/fprobe -i INTERFACE NETFLOWCOLLECTORIP:PORT
in der Regel wird das Interface eth1 am interessantesten sein.
Wer will, kann sich dazu dann noch ein Startskript schreiben, was das für einen erledigt.

Ergebnis ist dann auch hier eine wunderbare Aufschlüsselung des Traffics:

netflow


Schlagwörter: , ,

Veröffentlicht20. September 2014 von gerger in Kategorie "Allgemein

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.