[FRnOG] [TECH] Collecteur NetFlow ?
Bonjour FrNog, Un collègue me demande si j'ai connaissance et conseil à lui donner en matière de collecteur NetFlow. Je me suis donc dit que FrNog était le meilleur endroit pour vous demander un retour d'expérience dans ce domaine, quels logiciels utilisez-vous pour la collecte des flux, et leur analyse (répartition par ip, protocole temps dans la journée, analyse post-mortem en cas de DDoS etc.) ? J'ai utilisé, à une époque, du Ntop ( http://www.ntop.org/ ) et du pmacct ( http://www.pmacct.net/ ) et du IPT-Netflow (module iptables pour linux http://sourceforge.net/projects/ipt-netflow/ ) mais c'était sur une infra 100% libre et pour un cas bizarre ... j'imagine que vous avez de meilleurs outils. merci de votre aide :) Bonne journée à tous, Benjamin Sonntag Octopuce --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Collecteur NetFlow ?
On 07/05/2012 10:29 AM, Benjamin Sonntag wrote: Bonjour FrNog, Un collègue me demande si j'ai connaissance et conseil à lui donner en matière de collecteur NetFlow. Je me suis donc dit que FrNog était le meilleur endroit pour vous demander un retour d'expérience dans ce domaine, quels logiciels utilisez-vous pour la collecte des flux, et leur analyse (répartition par ip, protocole temps dans la journée, analyse post-mortem en cas de DDoS etc.) ? J'ai utilisé, à une époque, du Ntop ( http://www.ntop.org/ ) et du pmacct ( http://www.pmacct.net/ ) et du IPT-Netflow (module iptables pour linux http://sourceforge.net/projects/ipt-netflow/ ) mais c'était sur une infra 100% libre et pour un cas bizarre ... j'imagine que vous avez de meilleurs outils. merci de votre aide :) Bonne journée à tous, Benjamin Sonntag Octopuce --- Liste de diffusion du FRnOG http://www.frnog.org/ Bonjour Benjamin. Je suis aussi à la recherche d'un bon collecteur netflow. J'ai commencé à triturer ntop, mais il partait en segfault toutes les 5 minutes. Actuellement, j'utilise as-stats (https://neon1.net/as-stats/) qui permet de faire quelques statistiques sympa à base de flux netflow. Dans quelques temps, je testerai scrutinizer, qui a l'air prometteur. Bonne journée. -- Cyril Davromaniak Lavier KeyID 59E9A881 http://www.davromaniak.eu --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Collecteur NetFlow ?
Pour ma part pmacct est le meilleur Cordialement Fabien Delmotte Envoyé de mon iPhone Le 5 juil. 2012 à 10:38, Cyril Lavier cyril.lav...@davromaniak.eu a écrit : On 07/05/2012 10:29 AM, Benjamin Sonntag wrote: Bonjour FrNog, Un collègue me demande si j'ai connaissance et conseil à lui donner en matière de collecteur NetFlow. Je me suis donc dit que FrNog était le meilleur endroit pour vous demander un retour d'expérience dans ce domaine, quels logiciels utilisez-vous pour la collecte des flux, et leur analyse (répartition par ip, protocole temps dans la journée, analyse post-mortem en cas de DDoS etc.) ? J'ai utilisé, à une époque, du Ntop ( http://www.ntop.org/ ) et du pmacct ( http://www.pmacct.net/ ) et du IPT-Netflow (module iptables pour linux http://sourceforge.net/projects/ipt-netflow/ ) mais c'était sur une infra 100% libre et pour un cas bizarre ... j'imagine que vous avez de meilleurs outils. merci de votre aide :) Bonne journée à tous, Benjamin Sonntag Octopuce --- Liste de diffusion du FRnOG http://www.frnog.org/ Bonjour Benjamin. Je suis aussi à la recherche d'un bon collecteur netflow. J'ai commencé à triturer ntop, mais il partait en segfault toutes les 5 minutes. Actuellement, j'utilise as-stats (https://neon1.net/as-stats/) qui permet de faire quelques statistiques sympa à base de flux netflow. Dans quelques temps, je testerai scrutinizer, qui a l'air prometteur. Bonne journée. -- Cyril Davromaniak Lavier KeyID 59E9A881 http://www.davromaniak.eu --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Collecteur NetFlow ?
Tant que tu ne cherches pas a savoir quelle AS est derrière quelle autre, as-stat est a mon avis le meilleur choix. https://neon1.net/as-stats/ J'ai fait une prez complete sur son installation - car c'est vraiment simple : http://thomas.mangin.com/data/pdf/Linx%2069%20-%20Mangin%20-%20AS-STATS.pdf Thomas On 5 Jul 2012, at 09:40, Fabien Delmotte wrote: Pour ma part pmacct est le meilleur Cordialement Fabien Delmotte Envoyé de mon iPhone Le 5 juil. 2012 à 10:38, Cyril Lavier cyril.lav...@davromaniak.eu a écrit : On 07/05/2012 10:29 AM, Benjamin Sonntag wrote: Bonjour FrNog, Un collègue me demande si j'ai connaissance et conseil à lui donner en matière de collecteur NetFlow. Je me suis donc dit que FrNog était le meilleur endroit pour vous demander un retour d'expérience dans ce domaine, quels logiciels utilisez-vous pour la collecte des flux, et leur analyse (répartition par ip, protocole temps dans la journée, analyse post-mortem en cas de DDoS etc.) ? J'ai utilisé, à une époque, du Ntop ( http://www.ntop.org/ ) et du pmacct ( http://www.pmacct.net/ ) et du IPT-Netflow (module iptables pour linux http://sourceforge.net/projects/ipt-netflow/ ) mais c'était sur une infra 100% libre et pour un cas bizarre ... j'imagine que vous avez de meilleurs outils. merci de votre aide :) Bonne journée à tous, Benjamin Sonntag Octopuce --- Liste de diffusion du FRnOG http://www.frnog.org/ Bonjour Benjamin. Je suis aussi à la recherche d'un bon collecteur netflow. J'ai commencé à triturer ntop, mais il partait en segfault toutes les 5 minutes. Actuellement, j'utilise as-stats (https://neon1.net/as-stats/) qui permet de faire quelques statistiques sympa à base de flux netflow. Dans quelques temps, je testerai scrutinizer, qui a l'air prometteur. Bonne journée. -- Cyril Davromaniak Lavier KeyID 59E9A881 http://www.davromaniak.eu --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Collecteur NetFlow ?
Le 05.07.2012 10:29, Benjamin Sonntag a écrit : Bonjour FrNog, Un collègue me demande si j'ai connaissance et conseil à lui donner en matière de collecteur NetFlow. Bonjour, Dans le libre, il y a le couple NFsen et NFdump: (développé et utilisé par le NREN Suisse Switch) http://nfsen.sourceforge.net/ et http://nfdump.sourceforge.net/ Sinon comme solution commerciale NetFlow tracker de Fluke Networks: http://fr.flukenetworks.com/enterprise-network/network-monitoring/OptiView-NetFlow-Tracker J'utilise les deux dans le cadre de mon activité professionnelle et sont les deux très complets et assez simples à mettre en oeuvre. NFsen est très puissant au niveau du post traitement, de la gestion des alarmes et la possibilité de créer ses propres plugins (détection DDos, Botnet, scan etc...) Sinon, il y a aussi FlowViewer (http://ensight.eos.nasa.gov/FlowViewer/) qui est un frontend aux données collectées par les flow-tools Bonne journée, Antoine --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Collecteur NetFlow ?
On 07/05/2012 10:44 AM, Thomas Mangin wrote: Tant que tu ne cherches pas a savoir quelle AS est derrière quelle autre, as-stat est a mon avis le meilleur choix. https://neon1.net/as-stats/ J'ai fait une prez complete sur son installation - car c'est vraiment simple : http://thomas.mangin.com/data/pdf/Linx%2069%20-%20Mangin%20-%20AS-STATS.pdf C'est bien le probleme de as-stats, on ne peut pas comptabiliser le traffic par peer-as, uniquement par origin-as; par ailleurs c'est pas ce qu'il demande: collecte des flux, et leur analyse (répartition par ip, protocole temps dans la journée, analyse post-mortem en cas de DDoS etc.) pmacct should do the job. Par contre, son paramétrage/implémentation, c'est pas de la tarte ! Clément --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Collecteur NetFlow ?
On 5 Jul 2012, at 09:50, Clement Cavadore wrote: par ailleurs c'est pas ce qu'il demande: collecte des flux, et leur analyse (répartition par ip, protocole temps dans la journée, analyse post-mortem en cas de DDoS etc.) Ooops ! je devrai apprendre a lire . pmacct should do the job. +1 Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Collecteur NetFlow ?
Bonjour, Pour ma part j'ai implanté la solution Netflow Analyzer de la marque ManageEngine dans un datacenter. Pour moi cela reste un des meilleurs collecteurs Netflow! en revanche c'est une solution un peu coûteuse. Renseigne toi sur ce produit et n'hésite pas si tu souhaites avoir plus d'informations Cordialement Mikael LELOUCH Message du 05/07/12 10:38 De : Cyril Lavier A : frnog@frnog.org Copie à : Objet : Re: [FRnOG] [TECH] Collecteur NetFlow ? On 07/05/2012 10:29 AM, Benjamin Sonntag wrote: Bonjour FrNog, Un collègue me demande si j'ai connaissance et conseil à lui donner en matière de collecteur NetFlow. Je me suis donc dit que FrNog était le meilleur endroit pour vous demander un retour d'expérience dans ce domaine, quels logiciels utilisez-vous pour la collecte des flux, et leur analyse (répartition par ip, protocole temps dans la journée, analyse post-mortem en cas de DDoS etc.) ? J'ai utilisé, à une époque, du Ntop ( http://www.ntop.org/ ) et du pmacct ( http://www.pmacct.net/ ) et du IPT-Netflow (module iptables pour linux http://sourceforge.net/projects/ipt-netflow/ ) mais c'était sur une infra 100% libre et pour un cas bizarre ... j'imagine que vous avez de meilleurs outils. merci de votre aide :) Bonne journée à tous, Benjamin Sonntag Octopuce --- Liste de diffusion du FRnOG http://www.frnog.org/ Bonjour Benjamin. Je suis aussi à la recherche d'un bon collecteur netflow. J'ai commencé à triturer ntop, mais il partait en segfault toutes les 5 minutes. Actuellement, j'utilise as-stats (https://neon1.net/as-stats/) qui permet de faire quelques statistiques sympa à base de flux netflow. Dans quelques temps, je testerai scrutinizer, qui a l'air prometteur. Bonne journée. -- Cyril Davromaniak Lavier KeyID 59E9A881 http://www.davromaniak.eu --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Collecteur NetFlow ?
Hello, J'ai développé un collecteur Netflow v9 en C. C'est pour le moment en prototype mais il est fonctionnel. Ses caractéristiques : - Event driven - fonctionne sur archi little endian (Linux et MacOSX, devrait marcher sans grosse difficulté sur autre BSD) - stocke les données sur MongoDB - opérationnel sur Cisco ASA Il manque : - un frontend (Ruby On Rails ?) Sexy pour requêter les données dans le mongo et les quelques requêtes de map/reduce - rendre le daemon plus paramétrable avec moins d éléments hard codé. - finaliser la partie v6 - faire des tests sur routeur Si vous voulez vous joindre a moi (ou sponsoriser un truc) n'hésitez pas a me contacter. Adrien Le 5 juil. 2012 12:24, mikael.lelouch mikael.lelo...@orange.fr a écrit : Bonjour, Pour ma part j'ai implanté la solution Netflow Analyzer de la marque ManageEngine dans un datacenter. Pour moi cela reste un des meilleurs collecteurs Netflow! en revanche c'est une solution un peu coûteuse. Renseigne toi sur ce produit et n'hésite pas si tu souhaites avoir plus d'informations Cordialement Mikael LELOUCH Message du 05/07/12 10:38 De : Cyril Lavier A : frnog@frnog.org Copie à : Objet : Re: [FRnOG] [TECH] Collecteur NetFlow ? On 07/05/2012 10:29 AM, Benjamin Sonntag wrote: Bonjour FrNog, Un collègue me demande si j'ai connaissance et conseil à lui donner en matière de collecteur NetFlow. Je me suis donc dit que FrNog était le meilleur endroit pour vous demander un retour d'expérience dans ce domaine, quels logiciels utilisez-vous pour la collecte des flux, et leur analyse (répartition par ip, protocole temps dans la journée, analyse post-mortem en cas de DDoS etc.) ? J'ai utilisé, à une époque, du Ntop ( http://www.ntop.org/ ) et du pmacct ( http://www.pmacct.net/ ) et du IPT-Netflow (module iptables pour linux http://sourceforge.net/projects/ipt-netflow/ ) mais c'était sur une infra 100% libre et pour un cas bizarre ... j'imagine que vous avez de meilleurs outils. merci de votre aide :) Bonne journée à tous, Benjamin Sonntag Octopuce --- Liste de diffusion du FRnOG http://www.frnog.org/ Bonjour Benjamin. Je suis aussi à la recherche d'un bon collecteur netflow. J'ai commencé à triturer ntop, mais il partait en segfault toutes les 5 minutes. Actuellement, j'utilise as-stats (https://neon1.net/as-stats/) qui permet de faire quelques statistiques sympa à base de flux netflow. Dans quelques temps, je testerai scrutinizer, qui a l'air prometteur. Bonne journée. -- Cyril Davromaniak Lavier KeyID 59E9A881 http://www.davromaniak.eu --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Collecteur NetFlow ?
Salut Thomas le nog, par ailleurs c'est pas ce qu'il demande: collecte des flux, et leur analyse (répartition par ip, protocole temps dans la journée, analyse post-mortem en cas de DDoS etc.) Ooops ! je devrai apprendre a lire . pmacct should do the job. +1 Thomas Je te rassure, as-stats m'intéresse aussi, plus directement ;) étant opérateur, analyser la répartition par AS peut être effectuée par ce biais de manière très intéressante après, si as-stats ne gère que l'as d'origine, et pas l'as du partenaire BGP, ça ne me servira pas à grand chose ... merci à vous tous en tout cas, j'ai cru comprendre que l'admin qui m'avait demandé cela est même inscrit sur FrNOG désormais (même s'il n'est pas opérateur au sens AS, il gère le réseau d'un grand compte ...) @+ Benjamin Sonntag Octopuce --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Collecteur NetFlow ?
Bonjour, J'ai testé également pendant 6 mois le manageengine avec 200 - 300 Mbits de traffic internet. L'interface est clair et intuitive. De plus la version d'essai te donne accès à toutes les fonctionnalités limitées à deux interfaces. Vraiment pratique pour bien tester le produit. Après nous sommes passé en prod sur du Cascade de Riverbedplus costaud mais un peu usine à gaz et très cher. Fabrice -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de mikael.lelouch Envoyé : jeudi 5 juillet 2012 12:24 À : Cyril Lavier; frnog@frnog.org Objet : Re: [FRnOG] [TECH] Collecteur NetFlow ? Bonjour, Pour ma part j'ai implanté la solution Netflow Analyzer de la marque ManageEngine dans un datacenter. Pour moi cela reste un des meilleurs collecteurs Netflow! en revanche c'est une solution un peu coûteuse. Renseigne toi sur ce produit et n'hésite pas si tu souhaites avoir plus d'informations Cordialement Mikael LELOUCH Message du 05/07/12 10:38 De : Cyril Lavier A : frnog@frnog.org Copie à : Objet : Re: [FRnOG] [TECH] Collecteur NetFlow ? On 07/05/2012 10:29 AM, Benjamin Sonntag wrote: Bonjour FrNog, Un collègue me demande si j'ai connaissance et conseil à lui donner en matière de collecteur NetFlow. Je me suis donc dit que FrNog était le meilleur endroit pour vous demander un retour d'expérience dans ce domaine, quels logiciels utilisez-vous pour la collecte des flux, et leur analyse (répartition par ip, protocole temps dans la journée, analyse post-mortem en cas de DDoS etc.) ? J'ai utilisé, à une époque, du Ntop ( http://www.ntop.org/ ) et du pmacct ( http://www.pmacct.net/ ) et du IPT-Netflow (module iptables pour linux http://sourceforge.net/projects/ipt-netflow/ ) mais c'était sur une infra 100% libre et pour un cas bizarre ... j'imagine que vous avez de meilleurs outils. merci de votre aide :) Bonne journée à tous, Benjamin Sonntag Octopuce --- Liste de diffusion du FRnOG http://www.frnog.org/ Bonjour Benjamin. Je suis aussi à la recherche d'un bon collecteur netflow. J'ai commencé à triturer ntop, mais il partait en segfault toutes les 5 minutes. Actuellement, j'utilise as-stats (https://neon1.net/as-stats/) qui permet de faire quelques statistiques sympa à base de flux netflow. Dans quelques temps, je testerai scrutinizer, qui a l'air prometteur. Bonne journée. -- Cyril Davromaniak Lavier KeyID 59E9A881 http://www.davromaniak.eu --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
