摘要:是一個基于的輕量持續實時的模塊。通過流量分析,可以實現更有效地監控網絡的狀況。目前已有大量設備支持協議。通過分布在網絡不同位置的將數據傳送給中央采集器,由中央采集器進行分析。使用采樣分析技術。這是問題的臨時解決方案。
mod_sflow是一個基于 Apache 的輕量、持續、實時的 sFlow 模塊。
什么是 sFlowsFlow 是一種網絡流量分析的協議。通過流量分析,可以實現更有效地監控網絡的狀況。例如,最近爆出的OpenSSL心臟出血漏洞,由于是通過 OpenSSL 漏洞直接讀取內存信息,而不是直接入侵系統,因此服務器日志上不會有相關的記錄,使用常規手段難以難以追查。但是,由于來回通信包的長度等特征非常明顯,因此利用sFlow之類的技術分析流量特征,就可以追溯攻擊流量和攻擊歷史。特別是,這次的 OpenSSL 漏洞可以無限制反復利用,這既方便了攻擊者,不用依靠精妙的技巧來操控讀取地址,反復讀取即可獲得大量內存片段,另一方面也使攻擊行為更容易被偵測到。
目前已有大量設備支持sFlow協議。sFlow協議的以下特性使其非常適合監測大流量傳輸的網絡:
使用內置在硬件中的專用芯片,減輕路由器或交換機的CPU、內存負擔。
通過分布在網絡不同位置的 sFlow agent 將數據傳送給中央 sFlow 采集器,由中央采集器進行分析。
使用采樣分析技術。大部分的包被丟棄,只留下樣本被傳送給采集器。sFlow 協議也支持 1:1 的采樣,也就是收集每個包的信息。只不過具體的芯片實現的最大采樣率有所不同。
mod_sflow 就是一個開源的 sFlow 中央采集器,可以實時分析收到的 sFlow 數據。
安裝編譯安裝此模塊于 Apache 的模塊目錄,同時在 apache httpd.conf 目錄中添加此項:
rm -f `apxs -q LIBEXECDIR`/mod_sflow.so apxs -c -i -a mod_sflow.c sflow_api.c
重啟 Apache 服務:
apachectl restart
注意,rm -f那一步很重要。這是 Apache #47951 問題的臨時解決方案。
配置mod_sflow 會讀取 /etc/hsflowd.auto的信息。這個文件會在你運行hsflowd服務時自動生成。
你也可以在httpd.conf 或 ../httpd/conf.d/sflow.conf 中配置:
SetHandler sflow
重啟 Apache 后,你可以訪問 http://
counter method_option_count 0 counter method_get_count 34 counter method_head_count 0 counter method_post_count 0 counter method_put_count 0 counter method_delete_count 0 counter method_trace_count 0 counter method_connect_count 0 counter method_other_count 0 counter status_1XX_count 0 counter status_2XX_count 17 counter status_3XX_count 0 counter status_4XX_count 17 counter status_5XX_count 0 counter status_other_count 0 string hostname 10.0.0.119 gauge sampling_n 400輸出
mod_sflow 的會在 UDP 端口輸出內容。你可以使用支持 sFlow 協議的工具查看,例如,免費軟件 sflowtool。
sflowtool的會輸出類似如下的內容:
startDatagram ================================= datagramSourceIP 10.0.0.150 datagramSize 192 unixSecondsUTC 1294168545 datagramVersion 5 agentSubId 32576 agent 10.0.0.150 packetSequenceNo 7 sysUpTime 25000 samplesInPacket 1 startSample ---------------------- sampleType_tag 0:1 sampleType FLOWSAMPLE sampleSequenceNo 1 sourceId 3:65537 meanSkipCount 400 samplePool 124 dropEvents 0 inputPort 0 outputPort 1073741823 flowBlock_tag 0:2100 extendedType socket4 socket4_ip_protocol 6 socket4_local_ip 10.0.0.150 socket4_remote_ip 10.0.0.70 socket4_local_port 80 socket4_remote_port 63023 flowBlock_tag 0:2201 flowSampleType http http_method 2 http_protocol 1001 http_uri /membase.php http_host 10.0.0.150 http_useragent Java/1.6.0_22 http_bytes 3487 http_duration_uS 24278 http_status 200 endSample ---------------------- endDatagram ================================= startDatagram ================================= datagramSourceIP 10.0.0.150 datagramSize 116 unixSecondsUTC 1294168501 datagramVersion 5 agentSubId 32576 agent 10.0.0.150 packetSequenceNo 3 sysUpTime 42000 samplesInPacket 1 startSample ---------------------- sampleType_tag 0:2 sampleType COUNTERSSAMPLE sampleSequenceNo 3 sourceId 3:65537 counterBlock_tag 0:2201 http_method_option_count 0 http_method_get_count 113 http_method_head_count 0 http_method_post_count 0 http_method_put_count 0 http_method_delete_count 0 http_method_trace_count 0 http_methd_connect_count 0 http_method_other_count 0 http_status_1XX_count 0 http_status_2XX_count 112 http_status_3XX_count 0 http_status_4XX_count 1 http_status_5XX_count 0 http_status_other_count 0 endSample ---------------------- endDatagram =================================
mod_sflow項目主頁
編撰 SegmentFault
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/35729.html
摘要:如今,多樣化的攻擊手段層出不窮,傳統安全解決方案越來越難以應對網絡安全攻擊。自適應安全平臺集成了預測預防檢測和響應的能力,為您提供精準持續可視化的安全防護。 近一年來,Docker 已經逐漸成為 container 界的事實標準,成為技術人員不可或缺的技能之一,就像 Docker 宣稱的那樣,「Build,Ship,and Run Any App,Anywhere」,容器極大簡化了環境...
摘要:再如通過處理流數據生成簡單的報告,如五分鐘的窗口聚合數據平均值。復雜的事情還有在流數據中進行數據多維度關聯聚合塞選,從而找到復雜事件中的根因。因為各種需求,也就造就了現在不斷出現實時計算框架,而下文我們將重磅介紹我們推薦的實時計算框架。 前言 先廣而告之,本文摘自本人《大數據重磅炸彈——實時計算框架 Flink》課程第二篇,內容首發自我的知識星球,后面持續在星球里更新,這里做個預告,今...
摘要:我會寫一些是后端技術前端工程相關的文章,偶爾會有一些大數據相關,也會推薦一些好玩的東西。 showImg(https://segmentfault.com/img/remote/1460000006767498); Nginx作為所有HTTP請求的入口,是非常重要的一層。本文主要介紹如何利用 Nginx日志實時監控每個業務的請求異常。? 這篇文章基于我之前的的一篇 《基于Lua+Kaf...
摘要:爬蟲和反爬蟲日益成為每家公司的標配系統。本文將描述一種盡量簡單的反爬蟲方案,可以在十幾分鐘內解決部分簡單的爬蟲問題,緩解惡意攻擊或者是系統超負荷運行的狀況至于復雜的爬蟲以及更精準的防御,需要另外討論。 showImg(https://segmentfault.com/img/bVDYV4?w=800&h=568); 爬蟲和反爬蟲日益成為每家公司的標配系統。爬蟲在情報獲取、虛假流量、動態...
閱讀 3056·2021-09-22 15:59
閱讀 1310·2021-08-30 09:46
閱讀 2272·2019-08-30 15:54
閱讀 2002·2019-08-26 12:15
閱讀 2529·2019-08-26 12:09
閱讀 1328·2019-08-26 11:57
閱讀 3333·2019-08-23 17:11
閱讀 1879·2019-08-23 15:59