netflow는 무엇인가..? 또 packet은 무엇인가...
아아 패킷은 패킷이고 플로우는...패킷들의 세션...뭐 이따우로 설명을 할 수 있겠지..
FProbe로 패킷을 받아서 netflow로 collector에게 전달하는데
왜 제대로 전달이 안되는걸까?
fprobe -i eth0 192.168.0.0:2222
로 하면 실시간 eth0의 패킷들이 플로우로 묶여서 192.168.0.0:2222로 전달되는데
정확한 플로우들이 전달되는지 어떻게 하면 확인할 수 있을까???
fprobe -i - IP:PORT 명령어로 stdin으로 입력된 패킷을 전달할 수도 있다
소스를 약간 수정해서
.pcap파일을 입력받도록 하면
패킷데이터파일을 입력받아 바로 플로우 정보로 전송할 수 있는데...
약 8만개의 패킷을 전송한다쳤을때 플로우는 약 4500개라고 치자
fprobe -i test.pcap IP:PORT로 전송하면
collector에서 봤을 때 정확히 4500개가 보여야한다
허나!
1600개 보였다...4200개 보였다...
대체 왜 이런 현상이 발생하는가....
소스를 봐도 알 수가 없다...
혹시 fprobe가 아니라 collector에서 제대로 받지를 않나 해서
fprobe 소스에 디버깅 코드를 집어넣어봤는데...
맞다..fprobe에서 지 멋대로 플로우를 보낸다...
대강 보면 timeout값이 지나면 루프를 빠져 나가버리는 부분도 있고...
스레드로 돌리면서 뮤텍스로 lock unlock하는 부분도 있고...
스레드를 wait하는것도 있고...
이쪽에 문제가 있을까?
그렇담...스레드를 다 없애고 단일 루틴으로 쫙쫙 실행되게 한다면..
정확한 플로우가 나갈것인가...?
또 정확한 플로우가 나간다 하면
어떻게 검증을 할까
wireshark에서 패킷들 세션을 다 세어볼수도 없고...
nprobe에서는 패킷을 파일로 입력받고 또 파일로 플로우 데이터를 출력도 가능하다는데...
이것도 제대로 실행이 안된다
구글링해봐도 어디 답변도 없고...
혹시나 요 글을 보고 답을 아는 사람은 답변을 남겨주시길 바란다...
질문 요약
fprobe에서 pcap파일을 입력받고 특정한 collector로 전송할 때
왜 전체 플로우가 전송되지 않고 실행할때 마다 다른 갯수만큼의 플로우가 전송이 되나?
답 : 아직 모름 ㅡㅡ....
아아 패킷은 패킷이고 플로우는...패킷들의 세션...뭐 이따우로 설명을 할 수 있겠지..
FProbe로 패킷을 받아서 netflow로 collector에게 전달하는데
왜 제대로 전달이 안되는걸까?
fprobe -i eth0 192.168.0.0:2222
로 하면 실시간 eth0의 패킷들이 플로우로 묶여서 192.168.0.0:2222로 전달되는데
정확한 플로우들이 전달되는지 어떻게 하면 확인할 수 있을까???
fprobe -i - IP:PORT 명령어로 stdin으로 입력된 패킷을 전달할 수도 있다
소스를 약간 수정해서
.pcap파일을 입력받도록 하면
패킷데이터파일을 입력받아 바로 플로우 정보로 전송할 수 있는데...
약 8만개의 패킷을 전송한다쳤을때 플로우는 약 4500개라고 치자
fprobe -i test.pcap IP:PORT로 전송하면
collector에서 봤을 때 정확히 4500개가 보여야한다
허나!
1600개 보였다...4200개 보였다...
대체 왜 이런 현상이 발생하는가....
소스를 봐도 알 수가 없다...
혹시 fprobe가 아니라 collector에서 제대로 받지를 않나 해서
fprobe 소스에 디버깅 코드를 집어넣어봤는데...
맞다..fprobe에서 지 멋대로 플로우를 보낸다...
대강 보면 timeout값이 지나면 루프를 빠져 나가버리는 부분도 있고...
스레드로 돌리면서 뮤텍스로 lock unlock하는 부분도 있고...
스레드를 wait하는것도 있고...
이쪽에 문제가 있을까?
그렇담...스레드를 다 없애고 단일 루틴으로 쫙쫙 실행되게 한다면..
정확한 플로우가 나갈것인가...?
또 정확한 플로우가 나간다 하면
어떻게 검증을 할까
wireshark에서 패킷들 세션을 다 세어볼수도 없고...
nprobe에서는 패킷을 파일로 입력받고 또 파일로 플로우 데이터를 출력도 가능하다는데...
이것도 제대로 실행이 안된다
구글링해봐도 어디 답변도 없고...
혹시나 요 글을 보고 답을 아는 사람은 답변을 남겨주시길 바란다...
질문 요약
fprobe에서 pcap파일을 입력받고 특정한 collector로 전송할 때
왜 전체 플로우가 전송되지 않고 실행할때 마다 다른 갯수만큼의 플로우가 전송이 되나?
답 : 아직 모름 ㅡㅡ....
