摘要:是一個(gè)基于的輕量持續(xù)實(shí)時(shí)的模塊����。通過(guò)流量分析�,可以實(shí)現(xiàn)更有效地監(jiān)控網(wǎng)絡(luò)的狀況。目前已有大量設(shè)備支持協(xié)議。通過(guò)分布在網(wǎng)絡(luò)不同位置的將數(shù)據(jù)傳送給中央采集器�����,由中央采集器進(jìn)行分析�����。使用采樣分析技術(shù)��。這是問題的臨時(shí)解決方案��。
mod_sflow是一個(gè)基于 Apache 的輕量�����、持續(xù)���、實(shí)時(shí)的 sFlow 模塊�����。
什么是 sFlow
sFlow 是一種網(wǎng)絡(luò)流量分析的協(xié)議���。通過(guò)流量分析�����,可以實(shí)現(xiàn)更有效地監(jiān)控網(wǎng)絡(luò)的狀況�����。例如����,最近爆出的OpenSSL心臟出血漏洞��,由于是通過(guò) OpenSSL 漏洞直接讀取內(nèi)存信息�����,而不是直接入侵系統(tǒng)�,因此服務(wù)器日志上不會(huì)有相關(guān)的記錄,使用常規(guī)手段難以難以追查�����。但是�,由于來(lái)回通信包的長(zhǎng)度等特征非常明顯�,因此利用sFlow之類的技術(shù)分析流量特征����,就可以追溯攻擊流量和攻擊歷史���。特別是����,這次的 OpenSSL 漏洞可以無(wú)限制反復(fù)利用����,這既方便了攻擊者,不用依靠精妙的技巧來(lái)操控讀取地址��,反復(fù)讀取即可獲得大量?jī)?nèi)存片段��,另一方面也使攻擊行為更容易被偵測(cè)到����。
目前已有大量設(shè)備支持sFlow協(xié)議。sFlow協(xié)議的以下特性使其非常適合監(jiān)測(cè)大流量傳輸?shù)木W(wǎng)絡(luò):
使用內(nèi)置在硬件中的專用芯片�,減輕路由器或交換機(jī)的CPU、內(nèi)存負(fù)擔(dān)����。
通過(guò)分布在網(wǎng)絡(luò)不同位置的 sFlow agent 將數(shù)據(jù)傳送給中央 sFlow 采集器��,由中央采集器進(jìn)行分析����。
使用采樣分析技術(shù)����。大部分的包被丟棄,只留下樣本被傳送給采集器��。sFlow 協(xié)議也支持 1:1 的采樣���,也就是收集每個(gè)包的信息��。只不過(guò)具體的芯片實(shí)現(xiàn)的最大采樣率有所不同��。
mod_sflow 就是一個(gè)開源的 sFlow 中央采集器����,可以實(shí)時(shí)分析收到的 sFlow 數(shù)據(jù)�。
安裝
編譯安裝此模塊于 Apache 的模塊目錄,同時(shí)在 apache httpd.conf 目錄中添加此項(xiàng):
rm -f `apxs -q LIBEXECDIR`/mod_sflow.so
apxs -c -i -a mod_sflow.c sflow_api.c
重啟 Apache 服務(wù):
apachectl restart
注意���,rm -f那一步很重要����。這是 Apache #47951 問題的臨時(shí)解決方案���。
配置
mod_sflow 會(huì)讀取 /etc/hsflowd.auto的信息����。這個(gè)文件會(huì)在你運(yùn)行hsflowd服務(wù)時(shí)自動(dòng)生成����。
你也可以在httpd.conf 或 ../httpd/conf.d/sflow.conf 中配置:
SetHandler sflow
重啟 Apache 后,你可以訪問 http:///sflow/ 來(lái)查看狀態(tài):
counter method_option_count 0
counter method_get_count 34
counter method_head_count 0
counter method_post_count 0
counter method_put_count 0
counter method_delete_count 0
counter method_trace_count 0
counter method_connect_count 0
counter method_other_count 0
counter status_1XX_count 0
counter status_2XX_count 17
counter status_3XX_count 0
counter status_4XX_count 17
counter status_5XX_count 0
counter status_other_count 0
string hostname 10.0.0.119
gauge sampling_n 400
輸出
mod_sflow 的會(huì)在 UDP 端口輸出內(nèi)容��。你可以使用支持 sFlow 協(xié)議的工具查看��,例如���,免費(fèi)軟件 sflowtool�。
sflowtool的會(huì)輸出類似如下的內(nèi)容:
startDatagram =================================
datagramSourceIP 10.0.0.150
datagramSize 192
unixSecondsUTC 1294168545
datagramVersion 5
agentSubId 32576
agent 10.0.0.150
packetSequenceNo 7
sysUpTime 25000
samplesInPacket 1
startSample ----------------------
sampleType_tag 0:1
sampleType FLOWSAMPLE
sampleSequenceNo 1
sourceId 3:65537
meanSkipCount 400
samplePool 124
dropEvents 0
inputPort 0
outputPort 1073741823
flowBlock_tag 0:2100
extendedType socket4
socket4_ip_protocol 6
socket4_local_ip 10.0.0.150
socket4_remote_ip 10.0.0.70
socket4_local_port 80
socket4_remote_port 63023
flowBlock_tag 0:2201
flowSampleType http
http_method 2
http_protocol 1001
http_uri /membase.php
http_host 10.0.0.150
http_useragent Java/1.6.0_22
http_bytes 3487
http_duration_uS 24278
http_status 200
endSample ----------------------
endDatagram =================================
startDatagram =================================
datagramSourceIP 10.0.0.150
datagramSize 116
unixSecondsUTC 1294168501
datagramVersion 5
agentSubId 32576
agent 10.0.0.150
packetSequenceNo 3
sysUpTime 42000
samplesInPacket 1
startSample ----------------------
sampleType_tag 0:2
sampleType COUNTERSSAMPLE
sampleSequenceNo 3
sourceId 3:65537
counterBlock_tag 0:2201
http_method_option_count 0
http_method_get_count 113
http_method_head_count 0
http_method_post_count 0
http_method_put_count 0
http_method_delete_count 0
http_method_trace_count 0
http_methd_connect_count 0
http_method_other_count 0
http_status_1XX_count 0
http_status_2XX_count 112
http_status_3XX_count 0
http_status_4XX_count 1
http_status_5XX_count 0
http_status_other_count 0
endSample ----------------------
endDatagram =================================
mod_sflow項(xiàng)目主頁(yè)
編撰 SegmentFault
文章版權(quán)歸作者所有��,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/35729.html
