我用netflow进行流量统计,准备作为计费的依据.
目前在GSR上只能做sampled netflow,我取的采样频率是1/100.
理论上说通过netflow统计到的结果*100就应该大致等于实际的流量了.
我通过mrtg采集端口得到的数据和netflow进行比较发现基本吻合,500Mbps左右的带宽相差不到5%.
我有几个问题想问问有经验的大侠们:
1 从感性上理解,流量越大,统计结果应该越接近实际值,那么有没有流量和误差的一个经验值曲线或者是理论推导的公式(不要太复杂的,我数学一般:).
2 有没有哪里用sampled netflow数据作为计费依据的?
3 如果有用sampled netflow作为计费依据的,对于网络中经常存在的大量小包攻击流量(pps很高)影响到netflow采样流量偏低是如何进行处理的.
abel 回复于:2004-11-04 23:47:23
http://www.ima.umn.edu/talks/workshops/4-7-11.2003/lund/256,1,Network Measurements and Sampling
自看囉....有問題咱們可多討論
另外,會建議您,不要只用 netflow 1/N sample 法,再搭配一下 SNMP
法,可減少不必要的誤差爭議
至於您的其他問題這份資料裏皆有
coolgg 回复于:2004-11-05 23:05:21
谢谢abel兄.
这篇论文也不简单,刚刚浏览了一下,得慢慢看了...
idcpanda 回复于:2004-11-06 12:54:10
学习中。我们这也要研究NETFLOW了。我也是ISP中的维护人员:)
blue_stone 回复于:2004-11-06 22:51:55
应该如何评价一个网络,有那些指标?
solar2k 回复于:2004-11-17 11:30:37
请问用netflow export 到服务器端后,服务器端用的分析、显示的软件用的是什么?也想在一些6509上作netflow, 服务器端用flow-tools 可以采集到信息了,但还没有好的分析、显示的软件,stager 配置比较复杂,很多软件要装。
wesley4248 回复于:2004-11-17 11:59:17
呵呵,采用我们的软件可以实现你的想法
springjing 回复于:2004-11-22 09:53:30
感觉用netflow做计费,那肯定是1:1了,如果做检测,则可以采样。
idcpanda 回复于:2004-11-22 13:08:26
引用:原帖由 "wesley4248"]呵呵,采用我们的软件可以实现你的想法
发表:
你是一个卖设备的啊。提供一个让我们使用一下啊。
idcpanda 回复于:2004-11-22 13:08:27
引用:原帖由 "wesley4248"]呵呵,采用我们的软件可以实现你的想法
发表:
你是一个卖设备的啊。提供一个让我们使用一下啊。
idcpanda 回复于:2004-11-22 13:20:56
引用:原帖由 "solar2k"]请问用netflow export 到服务器端后,服务器端用的分析、显示的软件用的是什么?也想在一些6509上作netflow, 服务器端用flow-tools 可以采集到信息了,但还没有好的分析、显示的软件,stager 配置比较复杂,很多软件..........
发表:
同样碰到很多问题,能不能分享一下你的成果。分析、显示软件我也在找。但stager是啥东东啊。
coolgg 回复于:2004-11-25 15:30:33
引用:原帖由 "solar2k"]请问用netflow export 到服务器端后,服务器端用的分析、显示的软件用的是什么?也想在一些6509上作netflow, 服务器端用flow-tools 可以采集到信息了,但还没有好的分析、显示的软件,stager 配置比较复杂,很多软件..........
发表:
你需要分析什么内容呢?
flow-tools可以做很多事情了,一个一个man看看吧。
如果公司很有钱,就可以买厂家的商业软件,有很多种。
config t 回复于:2004-12-14 01:37:03
差点傻掉,我一台foundry 8000 不是jetcore竟然不支持....
stager想法倒是不错,isp用比较好
不过没时间玩这个了...
cnadl 回复于:2005-01-08 13:59:00
估计值与实际值的误差服从正态分布。
误差相对流量的经验曲线倒是没有,楼主写个程序可以自己模拟一下1/100下流量的采样,再计算一下误差,对各个流量级别反复上100k次,差不多就能生成经验曲线了。如果要求不高,反复上10k次也可以。
至于2、3,我没有搞过计费,没有发言权,但是有一点疑惑:当发生小包攻击的时候,只有pps高,带宽其实并没有占用过多,为什么会导致netflow流量偏低呢。
最后to abel,感谢您之前在sendmail版的帮助,一直没找到机会说声谢谢。。
abel 回复于:2005-01-10 11:29:43
quote]当发生小包攻击的时候,只有pps高,带宽其实并没有占用过多,为什么会导致netflow流量偏低呢。
正常情況可能是 100 個包 ,假設皆介於 1k~2k ,
小包時,本來抽樣可能是 2k, 但因為小包太多,可能抽到 20byte
結果會嚴重失真
iammin 回复于:2005-01-26 12:50:30
看你在什么地方,如果在上海,可以联系我,我有比较完整的Netflow分析解决方案,可以提供测试使用。
bs7799-2 回复于:2005-01-26 16:05:44
建议大家参考这两篇文档
Detecting Worms and Abnormal Activities with NetFlow, Part 1&2
http://www.securityfocus.com/infocus/1796
http://www.securityfocus.com/infocus/1802
aspx 回复于:2005-09-19 10:58:23
我用采集程序采集netflow的包
结果发现
bytes pkts
3727065083 3703710177
3727064956 3729231769
3727064835 3722987780
不知道为什么如此大
这样正常么
netflow是v9格式的
换了几个采集的都是这样
bingosek 回复于:2005-09-20 01:12:47
引用:原帖由 "config t" 发表:
差点傻掉,我一台foundry 8000 不是jetcore竟然不支持....
stager想法倒是不错,isp用比较好
不过没时间玩这个了...
foundry使用sflow
|
