下面归纳一下实施流量监控的步骤(以Cisco 6000系列交换机为例):
1) 在Cisco 6509上配置NetFlow(或其他网络设备),并输出到指定到Ossim采集器(IP)的固定UDP端口。
2) 采集器软件为Ossim系统的Flow-tool工具,该软件监听UDP端口,接收进入的NetFlow数据包并存储为特定格式。
3) 使用Nfsen等软件包中的工具对NetFlow源文件进行读取,转换成可读的ASICII格式,再用Ossim内的Perl程序对NetFlow进行分析和规范格式的操作,并将读取的NetFlow信息存储入Ossim数据库中。
4) 依据蠕虫和DDOS攻击等异常报文的流量特征,在分析程序中预设各种触发条件,定时运行,从中发现满足这些条件的Flow。
5) 将分析结果在Web客户端中展示,或者通过E-mail、短信等接口发送。也可以通过与设备联动的方式,采用ACL对设备进行自动配置,等攻击流消退后再自动取消ACL。
除了OSSIM之外,还有些商业软件都提供了很好的分析工具,例如Solarwinds NetFlow Traffic Analysis 和Manage Engine NetFlow Analyzer这两款软件如图7所示,它们都是不错的选择。
图7 Manage Engine NetFlow Analyzer