Rozliseni zahranicniho provozu

Ahoj,

na siti s cca 800 uzivateli resim, jak by slo monitorovat mnozstvi dat ktere smeruje z/do zahranici, resp. jak rozlisit vnitrostatni traffic od vseho ostatniho. Jde mi pouze o priblizne zjisteni mnozstvi dat, ktere jde ze zahranici. Na serveru bezi flow sonda z flow-tools, takze mam za nejakou dobu ulozene informace o IP na kterou bylo navazanou spojeni a mnozstvi dat ktere pres nej proteklo.

Napada me reseni, vyexportovat cilovou IP s mnozstvim dat a tuto IP pomoci nejake online/ofline databaze zjistit zda nalezi do CR ci nikoliv. Resil nekdo jiz podobny problem?

Odpovědi

Můžeš použít třeba program geoiplookup.

Zahrajte si trojšachy přes internet :-)

8.11.2011 12:32 Pepa
Rozbalit Rozbalit vše Re: Rozliseni zahranicniho provozu

diky, to by mohlo byt jednim z reseni

Předpokládám, že máš o tohle zájem zejména kvůli accountingu pro tranzitní traffic, dá se to řešit třeba tak, že budeš netflow filtrovat na rozhraní do kterých teče, typická situace eth0 - vnitřní síť, eth1 NIX konektivita, eth2 tranzitní konektivita.

Třeba nfdump

nfdump -A srcip -o "fmt:%sa - %byt" in if 0 AND out if 2

no a zbytek už jen nějaký chytrý perl kód, který bude číst výstup nfdumpu řádek po řádku a dělat s ním potřebné. Případně se to dá řešit přes AS čísla, udělat seznam peerovaných ASek a co neteče do těchto AS počítat jako tranzt.

8.11.2011 12:14 Pepa
Rozbalit Rozbalit vše Re: Rozliseni zahranicniho provozu

Rohranim jsou jenom dve, eth0 - vnitřní síť, eth1 konektivita od poskytovatele. Co mam k dispozici jsou data z net-flow na techto rozhranich..

Mozna by bylo resenim z databze RIPE vydolovat jednotlive peery s nastavenym country na CZ s prislusnymi adresnimi rozsahy, na ktere by se pak pasovaly cilove IP z net flow. Nicmene to asi nebude zrovna nejpresnejsi.

Dotaz: Rozliseni zahranicniho provozu

Odpovědi