Cisco IpFlow

De BlaxWiki
Aller à la navigationAller à la recherche

Mini doc pour trouver la source d'une attaque sur un Cisco

Configuration sur le routeur

ip flow-cache timeout active 5
ip flow-export source Loopback0
ip flow-export version 5 peer-as
ip flow-export destination 212.43.194.17 9995

interface GigabitEthernet0/3
  ip flow ingress ! or ip flow egress

Sur un 6500, inutile de configurer ip flow ingress sur les interfaces pour obtenir le trafic routé par MLS. Attention, seul le trafic ingress est caché. Utiliser la configuration suivante : 

mls nde sender version 5

! interface-full pour obtenir l'index de l'interface ingress
mls flow ip full

! pour renseigner dans les flots le next-hop, l'egress interface et les AS au moment de l'export
mls nde interface

! commande pour exporter les logs vers un serveur
ip flow-cache timeout active 5
ip flow-export source Loopback0
ip flow-export version 5 origin-as 
ip flow-export destination 212.43.194.17 9995

Pour configurer en version 9, configurer : 

ip flow-export version 9

On peut utiliser par la suite la commande show ip flow top-talkers et faisant la config ci-dessous 

ip flow-top-talkers
 top 5
 sort-by packets
 cache-timeout 3600000
 match destination address 212.43.195.0 255.255.255.0


Après cette configuration, mls nde sender version 5 ne sera plus utilisé (mais sera encore dans la configuration, utiliser show mls nde pour voir quelle version est utilisée).

Attention, la configuration v9 hardware (PFC) n'est pas flexible.

Configuration sur le serveur Netflow

Lancer le serveur ehnt : 

ehntserv -u 9995

Lancer ehnt (man ehnt) : 

ehnt -mtop -i1


Pour connaître les index SNMP des interfaces : 

th1-cr1#show snmp mib ifmib

Pour dumper les paquets reçus avec tshark : 

tshark -d udp.port==9995,cflow -V udp port 9995
</pre
Récupérée de « https://wiki.blaxeen.com/index.php?title=Cisco_IpFlow&oldid=527 »