Re: [FRnOG] [TECH] netflow / ipfix : flux bidirectionnels

Sun, 02 Feb 2025 11:09:07 -0800 

Bonsoir Thomas,

Merci pour ta réponse.
A terme j'aimerais bien trouver une solution qui me permette d'éviter de passer par l'étape des fichiers de nfdump mais effectivement il semble bien que cela puisse répondre à mon besoin, je vais tester. 

Bonne soirée !


Le 31/01/2025 à 21:28, thomas.trupel via frnog a écrit :

Bonjour,
Tu peux essayer d'utiliser nfdump avec les options -B et -w puis utiliser 
nfreplay.
Cordialement,
Thomas

31 janv. 2025 20:17:27 fr...@r0m5.eu:


Bonjour,

Je cherche à aggréger des flux netflow / IPFIX de la manière dont le font les paramètres "-a" et 
"-B" de nfdump, c'est à dire "Aggregate flow records as bidirectional flows" (je ne sais 
pas comment traduire en français pour que ce soit aussi parlant) :
- "-a" : Aggregate flow records. The default aggregation is done at connection 
level by taking the 5-tuple protocol,srcip,dstip,srcportand dstport.
- "-B" : [...]tries to guess the correct client to server direction. Automagically swaps 
flows if src port is < dst port for TCP and UDP flows and src port < 1024 and dst port > 
1024.

Le but étant, dans mon collecteur netflow, de ne pas voir par exemple les flux 
retour TCP du type 192.168.1.1:443 --> 192.168.1.2:38542.

Je ne peux pas utiliser nfdump car il sort le résultat dans des fichiers, hors 
j'aimerais pouvoir le faire avec un soft qui reçoit l'UDP du netflow, aggrège 
de la manière indiquée ci-dessus puis transfère le netflow aggrégé à mon 
collecteur netflow, qui ne sait pas lui-même faire l'aggrégation.

J'ai regardé la doc pmacct. La majorité de mon besoin semble réalisable, mais j'ai un 
gros doute sur la possibilité de pouvoir faire l'équivalent de l'option "-B" de 
nfdump.
En tout cas il y a 8 ans ce n'était pas possible 
(https://pmacct-discussion.pmacct.narkive.com/Hbxynu8P/can-pmacctd-track-and-group-flows-around-a-detected-common-destination-port).

Quelqu'un a-t-il déjà réussi à faire cela ? Connaîtrait un soft qui me 
permettrait de le faire ? Ou même si c'est possible avec pmacct ?

Merci à ceux qui auront lu, et bonne soirée à tous.




---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/



---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/






















					Répondre à