service data-source
type { ip-traffic | netflow | libpcap | netgraph | raw }
Çàäàåò òèï èñòî÷íèêà äàííûõ
- ip-traffic
äàííûå áåðóòñÿ ïóòåì ïåðåõâàòà ip-ïàêåòîâ èç ÿäðà ÷åðåç divert socket (FreeBSD) èëè netfilter (Linux 2.4.x)
- netflow
äàííûå î ïðîøåäøåì òðàôèêå ïðèõîäÿò îò ìàðøðóòèçàòîðà Cisco, îòäàþùåãî ïîòîê èíôîðìàöèè â ïàêåòàõ NetFlow, èëè îò ëþáîãî äðóãîãî êîëëåêòîðà, ïîääåðæèâàþùåãî NetFlow v.5 (ulog2netflow, ipfw2netfloe, flowprobe)
- libpcap
äàííûå áåðóòñÿ ïóòåì ïåðåõâàòà ïàêåòîâ ñ ïîìîùüþ áèáëèîòåêè libpcap, êîòîðàÿ êîïèðóåò â ïðîãðàììó ïðîõîäÿùèå ÷åðåç ÿäðî ñèñòåìû îïðåäåëåííûå ïàêåòû. òàê æå ðàáîòàåò, íàïðèìåð, tcpdump. Ñìîòðè ýòîò ðàçäåë.
- netgraph
äàííûå ïåðåäàþòñÿ îò óñòàíîâëåííîãî ìîäóëÿ ÿäðà. Òîëüêî äëÿ FreeBSD 5.xx. Ñìîòðè ýòîò ðàçäåë.
- raw
äàííûå ïåðåäàþòñÿ îò ïðîèçâîëüíîãî èñòî÷íèêà (íàïðèìåð êîììóòàòîð Cisco èëè ñåðâåð Radius) è ó÷èòûâàþòñÿ ÷åðåç êîìàíäó rawdata .
source { tee XXX | divert XXX | ipq | ulog NL1 [NL2 ... NL32] |
A.B.C.D | ifname [promisc] | nodename [divert] }
Çàäàåò èñòî÷íèê äàííûõ:
Äëÿ
FreeBSD
- tee XXX
ïàêåòû áóäóò êîïèðîâàòüñÿ â ïðîãðàììó è ïàðàëëåëüíî îáðàáàòûâàòüñÿ ñèñòåìîé, íîìåð divert-ïîðòà XXX
- divert XXX
ïàêåòû áóäóò çàâîðà÷èâàòüñÿ â ïðîãðàììó è îíà ìîæåò îòäàòü èëè íå îòäàòü èõ ñèñòåìå îáðàòíî,
íîìåð divert-ïîðòà XXX
- nodename [divert]
óñòàíîâèòñÿ ñîåäèíåíèå ñ ìîäóëåì NETGRAPH ÿäðà nodename. Ïàðàìåòð divert óêàçûâàåò íà íåîáõîäèìîñòü ïðîâîäèòü àâòîðèçàöèþ ïîòîêà ïåðåä åãî ïðîïóñêàíèåì. Ñìîòðè ýòîò ðàçäåë.
Äëÿ
Linux
Íåîáõîäèìî íàëè÷èå â ñèñòåìå netfilter.
Ïîäðîáíåå ìîæíî ïðî÷èòàòü
man iptables è íà ñàéòå
www.netfilter.org
- ipq
ïàêåòû áóäóò çàâîðà÷èâàòüñÿ â ïðîãðàììó è îíà ìîæåò îòäàòü èëè íå îòäàòü èõ ñèñòåìå îáðàòíî.
Èñïîëüçóåòñÿ áèáëèîòåêà libipq.
Äëÿ ðàáîòû äîëæåí áûòü çàãðóæåí ìîäóëü ip_queue (modprobe ip_queue).
×òîáû àêòèâèðîâàòü ïåðåäà÷ó ïàêåòîâ èç ÿäðà, íåîáõîäèìî çàäàòü ýòî â firewall, íàïðèìåð êîìàíäîé:
iptables -A FORWARD -j QUEUE ...
- ulog NL1 [NL2 ... NL32]
ïàêåòû áóäóò êîïèðîâàòüñÿ â ïðîãðàììó è ïàðàëëåëüíî îáðàáàòûâàòüñÿ ñèñòåìîé,
NLx îïðåäåëÿåò íîìåðà ìóëüòèêàñò ãðóïï â êîòîðûõ ïðîãðàììà áóäåò ñëóøàòü ïàêåòû îòïðàâëÿåìûå ÷åðåç ULOG.
×òîáû àêòèâèðîâàòü ïåðåäà÷ó ïàêåòîâ èç ÿäðà, íåîáõîäèìî çàäàòü ýòî â firewall, íàïðèìåð êîìàíäîé:
iptables -A FORWARD -j ULOG --ulog-nlgroup NLx ...
nlgroup NLx äîëæíî áûòü â ãðàíèöàõ 1-32
Îáùèå
- A.B.C.D
ïîòîê NetFlow áóäåò èäòè ñ õîñòà (ìàðøðóòèçàòîðà) ñ IP-àäðåñîì èñòî÷íèêà A.B.C.D íà ëîêàëüíûé UDP-ïîðò 20001 èëè òîò, êîòîðûé áóäåò óêàçàí â êîìàíäå listen
- ifname [promisc]
èìÿ ëîêàëüíîãî ñåòåâîãî èíòåðôåéñà, íà êîòîðîì áóäóò çàõâàòûâàòüñÿ ïðîõîäÿùèå ïàêåòû
Åñëè óêàçàí ôëàã promisc, òî èíòåðôåéñ áóäåò ïîìåùåí â promisc mode. Ïî óìîë÷àíèþ - íå óêàçàí.
listen { 0 | ip } port_number
Çàäàåò IP àäðåñ è UDP-ïîðò, íà êîòîðûé áóäóò ïðèíèìàòüñÿ ïàêåòû NetFlow îò èñòî÷íèêà èíôîðìàöèè î òðàôèêå (êîëëåêòîðà).
clock { remote | local }
Óêàçûâàåò, êàêîå çíà÷åíèå òåêóùåãî âðåìåíè ñîçäàíèÿ ïàêåòà èñïîëüçîâàòü äëÿ çàíåñåíèÿ èíôîðìàöèè â áàçó - ëîêàëüíîå èëè óêàçàííîå â NetFlow-ñîîáùåíèè.
layer7-detect { none | urls }
Âêëþ÷àåò ìåõàíèçì îïðåäåëåíèÿ ññûëîê (URL) â òðàôèêå, ïðîõîäÿùåì ÷åðåç ýòîò ñåðâèñ data-source. Äîïóñòèìûå çíà÷åíèÿ "none" (âûêëþ÷åíî) èëè "urls". Âî âòîðîì ñëó÷àå, ïåðâûå íåñêîëüêî ïàêåòîâ â ïîòîêå íà ïîðòû íàçíà÷åíèÿ 80, 81, 8080, 8000, 3128 áóäóò ïðîàíàëèçèðîâàíû íà ïðåäìåò ïîèñêà ïîëåé Host: è GET. Ýòà èíôîðìàöèÿ ìîæåò áûòü ó÷òåíà ÷åðåç ñåðâèñ ìîíèòîðèíãà (íîâîå ïîëå layer7 â òàáëèöå monitor).
rule ID rule_string
Çàäàåò ñèñòåìíîå ïðàâèëî, ïî êîòîðîìó äàííûå áóäóò ïîïàäàòü â ïðîãðàììó:
- ID íîìåð ïðàâèëà, äëÿ Linux íå èìååò ñìûñëà ò.ê. ïðàâèëà ñòàâÿòñÿ â êîíåö öåïî÷êè
- rule_string ïðàâèëî â âèäå òåêñòîâîé ñòðîêè, êîòîðîå áóäåò ïåðåäàíî ñèñòåìå (Linux èëè FreeBSD) äëÿ óñòàíîâêè ïåðåõâàò÷èêà ïàêåòîâ.
no rule ID
Îòìåíÿåò ïðàâèëî ñ íîìåðîì ID.