On 5/11/06, Tarhon-Onu Victor <[EMAIL PROTECTED]> wrote:
On Wed, 10 May 2006, Calin Velea wrote:
> Stie cineva vreun probe netflow free (cu libpcap) de Linux
> care sa completeze si source AS/dest AS in pachetele netflow
> pe care le genereaza? fprobe nu face asa ceva; singurul care
> am gasit eu ca ar face este nprobe (dar e comercial).
fprobe-ul lui tim nu te umezeste? Parca scrisese si dudu o scula
de exportat/importat cisco netflows (cu pcap) insa nu o mai gasesc
nicaieri acum pe net (gflow parca se chema). Poate spune el ceva daca vede
mailul asta.
http://freshmeat.net/projects/glflow/
Oricum daca stau bine si ma gindesc e destul de dificil ca dupa ce
prinzi un pachet cu pcap (si extragi ip-urile de acolo, nimic mai simplu)
sa te apuci sa cauti AS-ul de la care vine. Iti ia mult timp pentru ca
practic tre' sa te uiti la serverele de whois. Pe masura ce ruleaza scula
teoretic generarea de flow-uri o face un router, care are tabela de
BGP (sa zicem full) asa ca e doar un lookup intr-o lista, cu whois
chiar ca e overkill si instant ajungi in blacklist-ul serverului
respectiv.
_______________________________________________
RLUG mailing list
[email protected]
http://lists.lug.ro/mailman/listinfo/rlug
