netflow는 무엇인가..? 또 packet은 무엇인가...
아아 패킷은 패킷이고 플로우는...패킷들의 세션...뭐 이따우로 설명을 할 수 있겠지..
FProbe로 패킷을 받아서 netflow로 collector에게 전달하는데
왜 제대로 전달이 안되는걸까?
fprobe -i eth0 192.168.0.0:2222
로 하면 실시간 eth0의 패킷들이 플로우로 묶여서 192.168.0.0:2222로 전달되는데
정확한 플로우들이 전달되는지 어떻게 하면 확인할 수 있을까???
fprobe -i - IP:PORT 명령어로 stdin으로 입력된 패킷을 전달할 수도 있다
소스를 약간 수정해서
.pcap파일을 입력받도록 하면
패킷데이터파일을 입력받아 바로 플로우 정보로 전송할 수 있는데...
약 8만개의 패킷을 전송한다쳤을때 플로우는 약 4500개라고 치자
fprobe -i test.pcap IP:PORT로 전송하면
collector에서 봤을 때 정확히 4500개가 보여야한다
허나!
1600개 보였다...4200개 보였다...
대체 왜 이런 현상이 발생하는가....
소스를 봐도 알 수가 없다...
혹시 fprobe가 아니라 collector에서 제대로 받지를 않나 해서
fprobe 소스에 디버깅 코드를 집어넣어봤는데...
맞다..fprobe에서 지 멋대로 플로우를 보낸다...
대강 보면 timeout값이 지나면 루프를 빠져 나가버리는 부분도 있고...
스레드로 돌리면서 뮤텍스로 lock unlock하는 부분도 있고...
스레드를 wait하는것도 있고...
이쪽에 문제가 있을까?
그렇담...스레드를 다 없애고 단일 루틴으로 쫙쫙 실행되게 한다면..
정확한 플로우가 나갈것인가...?
또 정확한 플로우가 나간다 하면
어떻게 검증을 할까
wireshark에서 패킷들 세션을 다 세어볼수도 없고...
nprobe에서는 패킷을 파일로 입력받고 또 파일로 플로우 데이터를 출력도 가능하다는데...
이것도 제대로 실행이 안된다
구글링해봐도 어디 답변도 없고...
혹시나 요 글을 보고 답을 아는 사람은 답변을 남겨주시길 바란다...
질문 요약
fprobe에서 pcap파일을 입력받고 특정한 collector로 전송할 때
왜 전체 플로우가 전송되지 않고 실행할때 마다 다른 갯수만큼의 플로우가 전송이 되나?
답 : 아직 모름 ㅡㅡ....
Flow와 패킷
fprobe,
netflow,
nprobe,
packet
-
이 글에는 트랙백을 보낼 수 없습니다 -
Soma next day. Soma-fitness. Soma without prescription. Soma prescription medicine. Soma.
Soma juice. 
2010/05/15 04:38 
-
먼 말인지 모름 ㅡㅡ....
퍼레이드 
2009/09/23 08:47
-
응?ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ
오빠 근데 이거 이웃추가 어떻게 함.........ㅋ. 연공 2009/09/23 23:40
-
대충 해결을 봤다, 아무래도 너무 빠른 속도로 전송해서 fprobe안에서 꼬이는것같다, NProbe로도 테스트를 해봤는데 nprobe는 아무 딜레이 옵션이 없어도 제대로 전송이 된다. fprobe는 패킷 사이즈에 따라 다르지만 패킷당 30플로우로 전송할때 -t 183:10000000 정도로 전송하면 제대로 들어갔다. 파일용으로 만들어진게 아니라서 한번에 너무 많은 패킷을 처리를 못하는듯..
aimaya 2009/09/28 17:35
-
하지만. 아직도 문제 발생...nprobe도 fprobe도 loss가 발생한다와앙ㅇㄹㄴㄴㅇㅎ
aimaya 2009/10/27 00:01
-
dhappy
2009/09/23 00:22
computer/etc.
최근 글
아 빵꾸났다
