je dirais que ça dépend du temps que tu a et de tes compétences en dév.
Si tu es a l'aise dans un langage (n'importe lequel), tu prends la libpcap et tu sauvegardes le flux dans /dev/null et au passage tu sauvegardes le couple ip/port source et ip/port dst dans un sqlite avec une petite colonne "count". Je pense qu'en moins de 100 ligne de python c'est réglé par exemple, mais t'en a pour ~1 journée de dév. Pour le netflow, pourquoi faire du SPAN et ne pas utiliser du netflow directement sur un équipement en bridge (dispo ou à mettre en place). My2cts. On Thu, Feb 10, 2022 at 12:48 AM Jérôme Quintard <jquint...@outlook.com> wrote: > Hello, > > J’ai besoin d’écouter un port via un span mirror pour effectuer pendant > une semaine une cartographie de ses flux LAN et WAN. > > Le but n’est pas de m’envahir avec une capture pcap mais simplement > d’avoir une vue de ports que j’estime ok (53, 80, 443, etc.) vs des ports > exotiques et des hôtes/réseaux connus (365, serveurs locaux) vs hôtes ou > réseaux inconnus. En gros inclure ou exclure à la volée suivant un FQDN, > une ip, un CIDR, un protocole, un intervalle de port. > > Le but étant de pouvoir nettoyer ces données et d’avoir ce qu’il me faut > pour créer des ACL pour maîtriser ces échanges / la QoS associée… > > Il y a pas des outils qui font ce type de choses ? > > J’ai bien ntop que j’utilise avec du netflow et que je peux aussi utiliser > avec du SPAN mais c’est tellement lent et pas franchement adapté… > > Merci pour vos idées. > > Jérôme > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Cordialement, Rémi Desgrange --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
