Guía de Configuración de NetFlow de Cisco IOS, Versión 12.2SR
Detección y Análisis de Amenazas de Red con NetFlow
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 514 KB | Inglés (22 Febrero 2008) | Comentarios

Contenidos

Detección y Análisis de Amenazas de Red con NetFlow

Encontrar la información de la característica

Contenido

Prerrequisitos de Detección y Análisis de Amenazas de Red con NetFlow

Información sobre la Detección y Análisis de Amenazas de Red con NetFlow

NetFlow Layer 2 and Security Monitoring

Captura de Información de Capa 3 con NetFlow Layer 2 and Security Monitoring Exports

Captura de Información de Capa 2 con NetFlow Layer 2 and Security Monitoring Exports

NetFlow Top Talkers

Comparación de los transmisores superiores dinámicos CLI del Netflow y de las características superiores de los transmisores del Netflow

Filtrado y Muestreo del Tráfico de NetFlow

NetFlow Input Filters: Clasificación del Flujo

Random Sampled NetFlow: Modo de Muestreo

Random Sampled NetFlow: El mapa del dechado del Netflow

Cómo Configurar y Utilizar Netflow para Detectar y Analizar las Amenazas de la Red

Prerrequisitos

Configuración de la Capa 2 de NetFlow y las Exportaciones de Monitoreo de Seguridad

Prerrequisitos

Verificación de NetFlow Layer 2 and Security Monitoring Exports

Restricciones

Uso de NetFlow Dynamic Top Talkers CLI para Mostrar la Distribución del Protocolo

Uso de NetFlow Dynamic Top Talkers CLI para Visualizar los Hablantes Principales de la Dirección IP de Origen que Envían Tráfico ICMP

Uso de NetFlow Dynamic Top Talkers CLI para Visualizar los Hablantes Principales de la Dirección IP de Destino que Reciben Tráfico ICMP

Configuración de NetFlow Top Talkers para Monitorear las Amenazas de la Red

Monitoreo y Análisis de los Flujos de NetFlow Top Talkers

Configuración del Filtrado y el Muestreo de NetFlow

Restricciones

Verificación del Filtrado y Muestreo de NetFlow

Monitoreo y Análisis de los Flujos de los Usuarios Principales Muestreados y Filtrados de NetFlow

Ejemplos de Configuración para Detectar y Analizar las Amenazas de la Red con NetFlow

Configuración de NetFlow Layer 2 and Security Monitoring Exports para Capturar Tráfico de un Ataque FTP Simulado: Ejemplo:

Análisis de un Ataque DoS FTP mediante el Comando show ip cache verbose flow: Ejemplo:

Analice un Ataque DoS FTP Usando NetFlow Dynamic Top Talkers CLI: Ejemplo:

Configuración de NetFlow Layer 2 and Security Monitoring Exports para Capturar Tráfico de un Ataque ICMP Simulado: Ejemplo:

Análisis de un Ataque DoS Ping ICMP mediante el comando show ip cache verbose flow: Ejemplo:

Análisis de un Ataque DoS Ping ICMP Usando NetFlow Dynamic Top Talkers CLI: Ejemplo:

Configuración del Filtrado y el Muestreo de NetFlow: Ejemplo:

Adonde ir después

Referencias adicionales

Documentos Relacionados

Estándares

MIB

RFC

Asistencia Técnica

Información de la característica para detectar y analizar las amenazas de la red con el Netflow

Glosario


Detección y Análisis de Amenazas de Red con NetFlow


Primera publicación: De junio el 19 de 2006
Última actualización: De octubre el 02 de 2009

Este documento contiene la información sobre y las instrucciones para detectar y analizar las amenazas de la red tales como establecimientos de rechazo del servicio (DOS) con el uso de las características siguientes del Netflow:

Capa 2 del Netflow y exportaciones del monitoreo de la seguridad — Esta característica mejora su capacidad de detectar y de analizar las amenazas de la red tales como establecimientos de rechazo del servicio (DOS) agregando 9 campos que el Netflow puede capturar los valores de. Algunos ejemplos son:

– Campo del Tiempo para vivir IP

– Campo de la Longitud del paquete

– Campos del tipo y del código ICMP

Transmisores superiores dinámicos CLI del Netflow — Esta característica le da una descripción del tráfico más en grandes cantidades de su red agregando los flujos en un campo común. Por ejemplo, puede agregar todos los flujos para una red de destino agregándolos en el prefijo de destino. Hay sobre 20 campos de los flujos que usted puede agregar el tráfico más en grandes cantidades encendido. Algunos ejemplos son:

– Fuente o IP Address de destino

– Fuente o prefijo de destino

– Puerto de origen o de destino

– Tipo y código ICMP

Transmisores superiores del Netflow — Esta característica le da una más vista detallada del tráfico en su red que la característica superior dinámica de los transmisores CLI del Netflow porque mira los flujos individuales. Usted utiliza la característica superior dinámica de los transmisores CLI del Netflow para identificar rápidamente el tráfico en grandes cantidades del interés. Usted utiliza la característica de los transmisores del top del Netflow para obtener más información detallada en cada uno de los flujos en el tráfico en grandes cantidades.

Filtros de entrada del Netflow — Esta característica sigue un subconjunto específico de tráfico del Netflow con el fin de la análisis del tráfico basada en la clase y de la supervisión. Esta característica se utiliza conjuntamente con la característica superior de los transmisores para ayudarle a centrarse su análisis en el tráfico que pudo ser una amenaza de la red tal como un ataque DOS.

Sampled NetFlow al azar — Esta característica se utiliza típicamente para el muestreo estadístico del tráfico de la red para los propósitos de la ingeniería de tráfico o de planificación de capacidad. Se utiliza en el contexto de la supervisión y de analizar las amenazas de la red porque puede ser utilizada para reducir el impacto en el router que usa el Netflow para monitorear el tráfico que pudo ser una amenaza de la red, tal como un ataque DOS.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para detectar y analizar las amenazas de la red con la sección del Netflow”.

Utilice Cisco Feature Navigator para buscar información sobre el soporte de plataformas y el soporte de imágenes del software Cisco IOS y Catalyst OS. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Contenido

Prerrequisitos de Detección y Análisis de Amenazas de Red con NetFlow

Información sobre la Detección y Análisis de Amenazas de Red con NetFlow

Cómo Configurar y Utilizar Netflow para Detectar y Analizar las Amenazas de la Red

Ejemplos de Configuración para Detectar y Analizar las Amenazas de la Red con NetFlow

Referencias adicionales

Información de la característica para detectar y analizar las amenazas de la red con el Netflow

Glosario

Prerrequisitos de Detección y Análisis de Amenazas de Red con NetFlow

Antes de que usted pueda utilizar el Netflow para detectar y analizar las amenazas de la red usted necesita entender el Netflow y cómo configurar a su router para capturar el estatus y las estadísticas del tráfico IP usando el Netflow. Vea la descripción del Cisco IOS NetFlow y configurar los módulos del Netflow y de la exportación de datos de NetFlow para más detalles.

El Netflow y el Cisco Express Forwarding (CEF) o el CEF distribuido (dCEF) se deben configurar en su sistema antes de que usted habilite el Netflow.

Información sobre la Detección y Análisis de Amenazas de Red con NetFlow

Para detectar y analizar las amenazas de la red con el Netflow, usted debe entender los conceptos siguientes:

NetFlow Layer 2 and Security Monitoring

NetFlow Top Talkers

Filtrado y Muestreo del Tráfico de NetFlow

NetFlow Layer 2 and Security Monitoring

Los campos de la capa 3 y de la capa 2 soportados por la capa 2 del Netflow y el aumento de la característica de las exportaciones del monitoreo de la seguridad la cantidad de información que se puede obtener por el Netflow sobre el tráfico en su red. Puede utilizar esta nueva información para aplicaciones tales como la ingeniería de tráfico y la facturación basada en uso.

Los campos de encabezado de Capa 3 cuyos valores captura la función NetFlow Layer 2 and Security Monitoring Exports son:

Campo Tiempo de Funcionamiento

Campo de longitud del paquete

Campo ID

Campos de código y tipo de ICMP

Desplazamiento del fragmento

Vea que la captura de la información de la capa 3 usando la capa 2 del Netflow y el monitoreo de la seguridad exporta la sección para más información sobre éstos los campos de la capa 3.

Los campos de la Capa 2 de los que la función NetFlow Layer 2 and Security Monitoring Exports captura los valores son:

Campo de dirección MAC de origen de las tramas que son recibidas por el router Netflow

Campo de dirección MAC de destino de las tramas que se transmiten por el router NetFlow

Campo de ID de VLAN de las tramas que recibe el router de NetFlow

Campo de ID de VLAN de las tramas que transmite el router de NetFlow

Nombres de la interfaz

Vea que la captura de la información de la capa 2 usando la capa 2 del Netflow y el monitoreo de la seguridad exporta la sección para más información sobre éstos los campos de la capa 2.

Los campos de la capa 3 capturados por la función NetFlow Layer 2 and Security Monitoring Exports mejora la capacidad de NetFlow para identificar los ataques de DOS. Los campos de la Capa 2 capturados por la función NetFlow Layer 2 and Security Monitoring Exports puede ayudar a identificar la trayectoria que el ataque DoS está tomando a través de la red.

Los campos de la capa 3 y de la capa 2 capturados por el Netflow acodan 2 y la característica de las exportaciones del monitoreo de la seguridad no es campos claves. Proporcionan información adicional sobre el tráfico de un flujo existente. Los cambios en los valores de los campos llave de Netflow, como la dirección IP de origen desde un paquete al siguiente paquete, dan como resultado la creación de un nuevo flujo. Por ejemplo si el primer paquete capturado por NetFlow tiene una dirección IP de origen de 10.34.0.2 y el segundo paquete capturado por NetFlow tiene un IP de origen de 172.16.213.65, NetFlow creará dos flujos separados.

Muchos ataques de negación de servicio (DoS) consisten en un atacante que envía el mismo tipo de datagrama IP una y otra vez en un intento de desbordar los sistemas de destino. En estos casos el tráfico de entrada tiene a menudo características similares, como por ejemplo los mismos valores en cada datagrama de uno o varios de los campos que puede capturar la función NetFlow Layer 2 and Security Monitoring Exports.

No existe una forma sencilla de identificar el remitente de muchos ataques DOS ya que la dirección IP de origen del dispositivo que envía el tráfico se suele falsificar. No obstante al capturar los campos de la dirección MAC y el VLAN-ID usando la función NetFlow Layer 2 and Security Monitoring Exports, se puede rastrear fácilmente el tráfico a través de la red al router al que está llegando. Si el router al que llega el tráfico soporta NetFlow, puede configurar la función NetFlow Layer 2 and Security Monitoring Exports en él para identificar la interfaz a la que llega el tráfico. El cuadro 1 muestra un ejemplo de un ataque en curso.

Figura 1 Ataque DoS que Llega por Internet


Notausted puede analizar los datos capturados por el Netflow directamente del router que usa show ip cache verbose flow el comando o remotamente con el motor del colector NetFlow CNS.


Una vez que se deduce que se está produciendo un ataque de negación de servicio (DoS) tras analizar los campos de la Capa 3 en los flujos de NetFlow, se pueden analizar los campos de la Capa 2 de los flujos para detectar la trayectoria que el ataque de negación de servicio (DoS) está siguiendo a través de la red.

Un análisis de los datos capturados por la función NetFlow Layer 2 and Security Monitoring Exports para el escenario mostrado en la Figura 1 indica que el ataque DoS está llegando en el Router C porque la dirección MAC de flujo ascendente es desde la interfaz que conecta el Router C al Switch A. Es también evidente que no hay routers entre el host de destino (el servidor de correo electrónico) y el router NetFlow porque la dirección MAC de destino del tráfico DoS que el router NetFlow reenvía al servidor de correo electrónico es la dirección MAC del servidor de correo electrónico.

Puede averiguar la dirección MAC que el Host C utiliza para enviar el tráfico al Router C configurando la función NetFlow Layer 2 and Security Monitoring Exports en el Router C. La dirección MAC de origen será del Host C. La dirección MAC de destino será para la interfaz en el router de NetFlow.

Una vez que se conoce la dirección MAC utilizada por el host C y la interfaz del router C que está recibiendo el ataque de negación de servicio (DoS) del host C, se puede mitigar el ataque reconfigurando el router C para que bloquee el tráfico del host C. Si el host c está en una interfaz dedicada usted puede inhabilitar la interfaz. Si el host c está utilizando una interfaz que lleve el tráfico de otros usuarios, usted debe configurar su Firewall, o agregue un ACL, para bloquear el tráfico del host c pero todavía para permitir que el tráfico de los otros usuarios atraviese el C del router.

Los ejemplos de configuración para detectar y analizar las amenazas de la red con la sección del Netflow tienen dos ejemplos para usar la capa 2 del Netflow y el monitoreo de la seguridad exporta la característica para identificar un ataque en curso y la trayectoria que el ataque está tomando a través de una red.

Captura de Información de Capa 3 con NetFlow Layer 2 and Security Monitoring Exports

La función NetFlow Layer 2 and Security Monitoring Exports tiene soporte para capturar cinco campos del tráfico IP de la Capa 3 en un flujo:

Campo Tiempo de Funcionamiento

Campo de longitud del paquete

Campo ID

Tipo y código de ICMP

Desplazamiento del fragmento

El cuadro 2 muestra los campos en encabezado del paquete IP. El cuadro 3 muestra los campos en un datagrama ICMP. Los datagramas ICMP se transportan en el área de datos de un datagrama IP, tras el encabezado IP.

Figura 2 Campos del Encabezado de Paquete IP

Tabla 1 Campos del Encabezado de Paquete IP 

Campo
Descripción

Versión

Versión del protocolo IP. Si este campo se establece en 4, es un datagrama de IPv4. Si este campo se establece en 6, es un datagrama de IPv6.

Observela encabezado del IPv6 tiene una diversa estructura de una encabezado del IPv4.

IHL (Longitud de Encabezado de Internet)

Longitud de Encabezado de Internet es la longitud del encabezado de Internet en la palabra de 32 bits y señala por tanto al principio de los datos.

Observeel valor mínimo para una encabezado correcta es 5.

ToS

El ToS proporciona una indicación de los parámetros abstractos de la calidad de servicio deseada. Estos parámetros se deben utilizar para guiar la selección de los parámetros de servicio reales cuando un dispositivo de networking transmite un datagrama a través de una red determinada.

Longitud Total

La longitud total es la longitud del datagrama, medida en octetos, incluidos el encabezado de Internet y los datos.

Identificador (ID)

El valor del campo ID lo ingresa el remitente. Todos los fragmentos de un datagrama IP tienen el mismo valor en el campo ID. Los datagramas IP subsiguientes del mismo remitente tendrán diferentes valores en el campo ID.

Es muy común que un host reciba datagramas IP fragmentados desde varios remitentes simultáneamente. Es también común que un host esté recibiendo simultáneamente varios datagramas IP del mismo remitente.

El host de destino utiliza el valor del campo ID para asegurarse de que los fragmentos de un datagrama IP se asignan al mismo buffer de paquetes durante el proceso de reensamblado del datagrama IP. El valor único del campo ID también se utiliza para evitar que el host receptor mezcle juntos los fragmentos de varios datagramas IP del mismo remitente durante el proceso de reensamblado del datagrama IP.

Indicadores

Secuencia de 3 bits utilizada para definir y seguir los parámetros de la fragmentación del datagrama IP.

001 = El datagrama IP se puede fragmentar. Hay más fragmentos del datagrama IP actual en tránsito.

000 = El datagrama IP se puede fragmentar. Éste es el último fragmento del datagrama IP actual.

010 = El Datagrama IP no se puede fragmentar. Éste es el datagrama IP completo.

Desplazamiento del fragmento

Este campo indica a qué parte del datagrama pertenece este fragmento.

TTL (Tiempo de Funcionamiento)

Este campo indica el tiempo máximo que está permitido que el datagrama permanezca en el sistema de Internet. Si este campo contiene el valor 0, el datagrama debe destruirse. Este campo se modifica en el procesamiento de la cabecera de Internet. El tiempo se mide en unidades de segundo; sin embargo, dado que cada módulo que procesa un datagrama debe reducir el TTL al menos en 1 incluso si procesa el datagrama en menos de un segundo, el TTL se debe considerar solamente como un límite superior del tiempo que puede existir un datagrama. La intención es hacer que se descarten los datagramas no entregables, y limitar el tiempo de vida máximo de los datagramas.

Protocolo

Indica el tipo de paquete de transporte incluido en la parte de los datos del datagrama IP. Los valores comunes son:

1 = ICMP

6 = TCP

17 = UDP

Checksum de encabezado

Un checksum en el encabezado solamente. Puesto que algunos campos del encabezado, como el campo de tiempo de funcionamiento, cambian cada vez que se reenvía un datagrama IP, este valor se recalcula y se verifica en cada punto de procesamiento del encabezado de Internet.

Dirección IP de origen

Dirección IP de la estación emisora.

Dirección IP de destino

Dirección IP de la estación de destino.

Opciones y Relleno

Las opciones y el relleno pueden o no pueden aparecer en los datagramas. Si aparecen, deben ser implementadas por todos los módulos de IP (host y gateways). El aspecto opcional es su transmisión en un datagrama determinado, no su implementación.


Figura 3 Datagrama ICMP

Tabla 2 Formato de Paquete de ICMP 

Tipo
Nombre
Códigos

0

Respuesta de eco

0: Ninguno

1

No asignado

2

No asignado

3

Destino inalcanzable

0: red inalcanzable.

1: host inalcanzable.

2: protocolo inalcanzable.

3 — Puerto inalcanzable.

4: Fragmentación necesaria y conjunto de bits DF.

5: ruta de origen fallida.

6: red de destino desconocida.

7: host de destino desconocido.

8: Host de origen aislado.

9: la comunicación con la red de destino está prohibida administrativamente.

10 — La comunicación con el host de destino está prohibida administrativamente.

11: red de destino inalcanzable para el ToS.

12: Host de destino inalcanzable para el ToS.

4

Apagado de fuente

0: Ninguno.

5

Redireccionar

0: Reorientar el datagrama para la red.

1 — Redirección de datagramas para el host.

2: redirecciona el datagrama para el TOS y la red.

3: Redirecciona el datagrama para el TOS y el host.

6

Dirección de host alternativa

0: Dirección alternativa para el host.

7

No asignado

8

Eco

0: Ninguno.

9

Anuncio del router

0: Ninguno.

10

Selección de router

0: Ninguno.

11

Tiempo excedido

0: tiempo de vida excedido en el tránsito.

12

Problema de parámetro

0: el puntero indica el error.

1 - Falta una opción obligatoria.

2: longitud incorrecta.

13

Grupo fecha/hora

0: Ninguno.

14

Respuesta de indicación de fecha y hora

0: Ninguno.

15

Solicitud de información

0: Ninguno.

16

Respuesta de información

0: Ninguno.

17

Solicitud de máscara de dirección

0: Ninguno.

18

Respuesta de la máscara de dirección

0: Ninguno.

19

Reservado (para seguridad)

20-29

Reservado (para experimento de fiabilidad)

30

Ruta de seguimiento

31

Error de conversión del datagrama

32

Redireccionamiento de host móvil

33

IPv6 where-are-you

34

IPv6 I-am-here

35

Solicitud de registro móvil

36

Respuesta de registro móvil

37-255

Reservado


Captura de Información de Capa 2 con NetFlow Layer 2 and Security Monitoring Exports

La función NetFlow Layer 2 and Security Monitoring Exports tiene la capacidad de capturar los valores de los campos de dirección MAC y de ID de VLAN de los flujos. Los dos tipos de VLAN soportados son 802.1q y Link Entre Switches (ISL) de Cisco.

Comprensión de los Campos de Dirección MAC de la Capa 2

Introducción a los campos ID de VLAN de Capa 2

Comprensión de los Campos de Dirección MAC de la Capa 2

Los nuevos campos de Capa 2 cuyos valores captura la función NetFlow Layer 2 and Security Monitoring Exports son:

Campo de dirección MAC de origen de las tramas que recibe el router de NetFlow

El campo de dirección MAC de destino de las tramas que se transmiten por el router NetFlow

El campo de ID de VLAN de las tramas que recibe el router de NetFlow

El campo de ID de VLAN de las tramas que transmite el router de NetFlow

El tipo Ethernet II y los Ethernetes 802,3 formatos de trama se muestran en el cuadro 4. El campo dirección de destino y el campo de dirección de origen en los formatos de trama son las direcciones MAC cuyos captura NetFlow. Los campos para los formatos de la trama Ethernet se explican en el cuadro 3.

Figura 4 Formatos de Trama de Ethernet tipo II y 802.3

Tabla 3 Campos de Tramas de Ethernet Tipo II y 802.3 

Campo
Descripción

Preámbulo

La entrada del campo de preámbulo es un patrón alternativo de 1s y 0s que dice a las estaciones receptoras que llega una trama. También proporciona un medio para que las estaciones receptoras sincronicen sus relojes con el flujo de bits de entrada.

SOF (comienzo de trama)

El campo SOF contiene un patrón alterno de 1 y 0, terminando con dos bits 1 consecutivos que indican que el bit siguiente es el primer bit del primer byte de la dirección MAC de destino.

Dirección de destino

La dirección de destino de 48 bits identifica qué estación de la LAN deben recibir la trama. Los primeros dos bits de la dirección del MAC de destino se reservan para funciones especiales:

El primer bit del campo DA indica si la dirección es una dirección individual (0) o un grupo de direcciones (1).

El segundo bit indica si el DA global está administrado globalmente (0) o localmente (1).

Los 46 bits restantes son un valor asignado de forma exclusiva que identifica una sola estación, un grupo de estaciones definido o todas las estaciones de la red.

Dirección de origen

La dirección de origen de 48 bits identifica qué estación transmitió la trama. La dirección de origen es siempre una dirección individual y el bit situado en el extremo izquierdo del campo SA es siempre 0.

Tipo

o

Longitud

Tipo: En una trama Ethernet de tipo II esta parte de la trama se utiliza para el campo de tipo. El campo Type se utiliza para identificar el siguiente protocolo de capa de la trama.

Longitud: En una trama Ethernet 802.3 esta parte de la trama se utiliza para el campo de longitud. El campo Longitud se utiliza para indicar la longitud de la trama Ethernet. El valor puede encontrarse entre 46 y 1500 bytes.

Datos

o

Encabezado y datos de 802.2

(Tipo Ethernet II) 46-1.500 bytes de datos

o

(802.3/802.2) = 8 bytes de cabecera y 38-1492 bytes del datos

FCS (Frame Check Sequence)

Este campo contiene un valor CRC (verificación por redundancia cíclica) de 32 bits creado por la estación emisora y recalculado por la estación receptora para verificar si hay tramas dañadas. FCS se genera para los campos DA, SA, Type y Data de la trama. El FCS no incluye la porción de datos de la trama.


Introducción a los campos ID de VLAN de Capa 2

NetFlow puede capturar el valor en el campo VLAN ID de las VLANs etiquetadas 802.1q y las VLANs encapsuladas ISL de Cisco. La sección describe los dos tipos de VLANs.


Notaha llegado a ser común para referir a 802.1q y al ISL como protocolos del encapsulado de VLAN.


Comprensión de VLANs 802.1q

Comprensión de Cisco ISL VLANS

Comprensión de VLANs 802.1q

Los dispositivos que utilizan 802.1q insertan una etiqueta de cuatro bytes en la trama original antes de transmitirla. El cuadro 5 muestra el formato de una trama Ethernet marcada con etiqueta 802.1q. Los campos para los VLA N 802.1q se describen en el cuadro 4.

Figura 5 Trama 802.1q con Etiqueta Ethernet de Tipo II o 802.3

TablA 4 Campos de Encapsulación de VLAN 802.1q 

Campo
Descripción

DA, SA, tipo o longitud, datos y FCS

Estos campos se describen en el cuadro 3.

TPID (Tag Protocol ID)

En este campo de 16 bits se establece el valor 0x8100 para identificar la trama como una trama con etiqueta IEEE 802.1Q.

Prioridad

Este campo de 3 bits, también denominado prioridad de usuario, hace referencia a la prioridad 802.1p. Indica el nivel de prioridad de trama que se puede utilizar para dar prioridad al tráfico y es capaz de representar 8 niveles (0-7).

Información de Control de Etiqueta

El campo de 2 bytes de información de control de etiqueta consta de dos subcampos:

Indicador del formato canónico (CFI) — Si el valor de este campo 1-bit es 1, después la dirección MAC está en el formato no canónico. Si el valor de este campo es 0, la dirección MAC está en el formato canónico.

ID de VLAN: este campo de 12 bits identifica de manera única la VLAN a la que pertenece la trama. Puede tener un valor entre 0 y 4095.


Comprensión de Cisco ISL VLANS

ISL es un protocolo propietario de Cisco para encapsular tramas en un trunk VLAN. Los dispositivos que utilizan ISL añaden un encabezado ISL a la trama. Este proceso se conoce como encapsulación VLAN. 802.1Q es la norma IEEE para etiquetar tramas en un troncal VLAN. El cuadro 6 muestra el formato de una trama Ethernet encapsulado por ISL de Cisco. Los campos para los VLA N 802.1q se describen en el cuadro 5.

Figura 6 Trama Ethernet con Etiquetado ISL de Cisco

Tabla 5 Encapsulación de ISL VLAN 

Campo
Descripción

DA (dirección de destino)

Este campo de 40 bits es una dirección multicast y se fija en 0x01-00-0C-00-00 o 0x03-00-0c-00-00. El host receptor determina que la trama se encapsulad en ISL leyendo el campo DA de 40 bits y haciéndolo coincidir con una de las dos direcciones multicast ISL.

Tipo

Este campo de 4 bits indica el tipo de trama que se encapsula y podría utilizarse en el futuro para indicar encapsulaciones alternativas.

Códigos TYPE:

0000 = Ethernet

0001 = Token Ring

0010 = FDDI

0011 = ATM

USUARIO

Este campo de 4 bits se utiliza para ampliar el significado del campo de tipo de trama. El valor predeterminado del campo USUARIO es 0000. Para las tramas Ethernet, los bits 0 y 1 del campo USER indican la prioridad del paquete mientras pasa a través del switch. Siempre que el tráfico se puede gestionar con más rapidez, los paquetes con este bit definido deben aprovechar la trayectoria más rápida. Sin embargo, dichas trayectorias no son necesarias.

Códigos USER:

XX00 = Prioridad normal

XX01 = Prioridad 1

XX10 = Prioridad 2

XX11: máxima prioridad

SA

Este campo de 48 bits es el campo de dirección de origen del paquete ISL. Debería configurarse en la dirección MAC 802.3 del puerto de switch que transmite la trama. El dispositivo receptor puede ignorar el campo SA de la trama.

LARGO

Este campo de valor de 16 bits almacena el tamaño de paquete real del paquete original. El campo LEN representa la longitud en bytes del paquete, excluyendo los campos DA, TYPE, USER, SA, LEN y FCS. El largo total de los campos excluidos es de 18 bytes, entonces el campo LEN representa el largo total menos 18 bytes.

AAAA03(SNAP)

El campo AAAA03 SNAP es un valor constante de 24 bits de 0xAAAA03.

HSA

Este campo de 24 bits representa los tres bytes superiores (la parte del ID del fabricante) del campo SA. Debe incluir el valor 0x00-00-0C.

VLAN

Este campo de 15 bits es el ID de LAN virtual del paquete. Este valor se utiliza para marcar las tramas en diversas VLANs.

BPDU

El bit en el campo BPDU se configura para todos los paquetes BPDU que la trama ISL encapsula. El algoritmo de spanning tree utiliza las BPDUs para obtener información sobre la topología de la red. Este bit también se define para las tramas CDP y VTP que se encapsulan.

ÍNDICE

Este campo de 16 bits indica el índice de puerto del origen del paquete cuando sale del switch. Se usa solamente para diagnóstico y otros dispositivos pueden configurarlo en cualquier valor. Se ignora en los paquetes recibidos.

RES

Este campo de 16 bits se utiliza cuando los paquetes Token Ring o FDDI están encapsulados con una trama ISL.

Trama Encapsulada

Este campo contiene la trama encapsulada de la Capa 2.

FCS

El campo FCS se compone de 4 bytes. Incluye un valor CRC de 32 bits creado por la estación remitente y recalculado por la estación receptora para verificar si hay tramas dañadas. El FCS cubre los campos DA, SA, Length/Type y Data. Cuando se asocia un encabezado ISL a una trama de la Capa 2, se calcula un nuevo FCS sobre el paquete ISL completo y se añade al final de la trama.

Observela adición del nuevo FCS no altera el FCS original que se contiene dentro de la trama encapsulada.


NetFlow Top Talkers

La implementación habitual de NetFlow exporta datos de NetFlow a un recolector. Las características de los transmisores del top del Netflow se pueden utilizar para el monitoreo de la seguridad o los fines contables para los transmisores superiores, y corresponder con e identificar el tráfico dominante en su red. Estas características son también útiles para una ubicación de la red donde no está posible una operación de la exportación de los tradicionales de NetFlow. Las características de los transmisores del top del Netflow no requieren a un colector obtener la información con respecto a los flujos. En lugar, los datos de NetFlow se visualizan en el router cuando utilizan al comando CLI superior dinámico de los transmisores show ip flow top del Netflow, o a los transmisores del top show ip flow top-talkers del Netflow.

Comparación de los transmisores superiores dinámicos CLI del Netflow y de las características superiores de los transmisores del Netflow

Hay dos características muy similares del Netflow que se pueden utilizar para monitorear el tráfico más en grandes cantidades en su red. Los nombres de la función son:

NetFlow Dynamic Top Talkers CLI

NetFlow Top Talkers

NetFlow Dynamic Top Talkers CLI

Esta característica fue introducida en 12.4(4)T. La característica superior dinámica de los transmisores CLI del Netflow se utiliza para obtener una descripción del tráfico más en grandes cantidades (transmisores superiores) de su red. Proporciona una descripción del tráfico agregando los flujos en el caché basado en el campo de la agregación que usted selecciona cuando usted utiliza la característica superior dinámica de los transmisores CLI del Netflow.

La característica superior dinámica de los transmisores CLI del Netflow no requiere las modificaciones a la configuración del router. show ip flow top El comando es el único comando que usted necesita utilizar para la característica superior dinámica de los transmisores CLI del Netflow. Usted puede invocar las opciones superiores dinámicas de los transmisores CLI del Netflow un de los directamente show ip flow top del comando siempre que usted las necesite.


Observela información que usted quiere utilizar la característica superior dinámica de los transmisores CLI del Netflow para analizar debe estar disponible en el caché. Por ejemplo, si usted quiere poder identificar la dirección MAC en los flujos, usted debe configurar ip flow-capture mac-addresses el comando para capturar los valores de los campos de la dirección MAC en el tráfico primero.


La característica superior dinámica de los transmisores CLI del Netflow agrega los flujos y permite que sean clasificados para poderlos ver. Los flujos se pueden agregar en los campos en el caché tal como fuente o IP Address de destino, tipo ICMP y valores del código, y así sucesivamente. Para una lista completa de los campos que usted puede agregar los flujos encendido, refiera show ip flow top al comando en la documentación de la referencia de comandos del Cisco IOS NetFlow.

Los flujos superiores agregados del transmisor se pueden clasificar por un de los después de los criterios:

El campo agregado en los datos de la visualización

La cantidad de bytes en los datos de la visualización

El número de flujos en los datos de la visualización

Por el número de paquetes en los datos de la visualización

En la ascensión o el orden descendente (encontrar al menos transmisor superior usado)

Además de ordenar los usuarios principales, puede organizar mejor la salida especificando criterios que los usuarios principales deben cumplir, tales como la dirección IP o el puerto de origen o destino. match La palabra clave se utiliza para especificar este criterio. Para una lista completa del criterio que corresponde con que usted puede seleccionar, refiera show ip flow top al comando en la documentación de la referencia de comandos del Cisco IOS NetFlow.

La característica superior dinámica de los transmisores CLI del Netflow puede ayudarle rápidamente a identificar el tráfico que se asocia a las amenazas de seguridad tales como ataques DOS porque no requiere las modificaciones de configuración. Usted puede cambiar las opciones superiores dinámicas de los transmisores CLI del Netflow para identificar y analizar las amenazas de la red en los flujos agregados simultáneamente mientras que usted aprende más sobre el tráfico que está de interés. Por ejemplo, después de que usted haya identificado que hay mucho tráfico ICMP en su red usando show ip flow top 10 aggregate icmp el comando usted puede aprender qué redes IP se está enviando el tráfico usando show ip flow top 10 aggregate icmp match destination-prefix 172.0.0.0/8 al comando.


Observeel volumen alto A de tráfico ICMP pudo indicar que un ataque basado en ICMP DOS está en curso.


show ip flow top El comando:

No requiere los comandos de configuración de flujo de red adicionales de visualizar a los transmisores superiores. Por lo tanto usted no necesita suministrar la contraseña del modo de configuración a los administradores que utilizan él show ip flow top ordenan para monitorear el tráfico de la red. El único requisito previo para usar show ip flow top el comando es que usted ha configurado el Netflow en por lo menos una interfaz en el router.

Flujos de los agregados basados automáticamente en el método de la agregación que usted selecciona, e independientemente de cualquier cachés de la agregación del Netflow.

Permite que usted cambie los parámetros del comando, tales como el número de flujos de visualizar, de la orden de la visualización, y de criterio de la coincidencia, simultáneo cada vez que usted utilice el comando sin tener que cambiar la configuración del router.

Permite que usted clasifique la muestra del resultado en la ascensión o el orden descendente basado encendido:

– El campo agregado

– La cantidad de bytes

– El número de flujos,

– El número de paquetes

muestre el top del flujo del IP y muestre a caché del IP el flujo prolijo

Muchos de los valores mostrados en la muestra del resultado show ip cache verbose flow del comando están en el hexadecimal. Si usted quiere corresponder con estos valores usando show ip flow top el comando con match la palabra clave, usted debe ingresar el valor de campo que usted quiere corresponder con en el hexadecimal. Por ejemplo, para hacer juego en el puerto destino de 00DC en el siguiente excepto show ip cache verbose flow del comando, usted utilizaría match destination-port las palabras claves 0x00DC y el argumento para show ip flow top el comando.

SrcIf          SrcIPaddress    DstIf          DstIPaddress    Pr TOS Flgs  Pkts
Port Msk AS                    Port Msk AS    NextHop              B/Pk  Active
Et0/0.1        10.10.11.4      Et1/0.1        172.16.10.8     06 00  00     209 
00DC /0  0                     00DC /0  0     0.0.0.0                40   281.4
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:       40                            Max plen:        40
Min TTL:        59                            Max TTL:         59
IP id:           0

Criterios de concordancia con el comando top del flujo del IP de la demostración

Usted puede limitar a los transmisores superiores que son visualizados por show ip flow top el comando usando match la palabra clave y los argumentos. Por ejemplo, usted puede visualizar a los transmisores del top del IP Destination Address que tienen un prefijo de 224.0.0.0 usando show ip flow top 10 aggregate destination-address match destination-prefix el comando 224.0.0.0/3.

Para una lista completa del criterio que corresponde con que usted puede seleccionar, refiera show ip flow top al comando en la referencia de comandos del Cisco IOS NetFlow. Si usted no configura los criterios de concordancia todos los flujos se consideran como candidatos a la agregación como los transmisores superiores basados en el volumen de tráfico que representan.

La orden en la cual la agregación ocurre

A excepción flows de la palabra clave, todas las coincidencias se realizan antes de la agregación, y solamente se agregan los flujos que corresponden con. Por ejemplo, show ip flow top el comandoaggregate destination-address match destination-prefix 5 172.16.0.0/16 analiza todos los flujos disponibles que buscan cualquier flujo que tenga las direcciones destino que hacen juego destination-prefix el valor de 172.16.0.0/16. Si encuentra cualesquiera coincidencias las agrega, y después visualiza el número de flujos destination-address agregados que es igual al número de transmisores superiores que fueron pedidos en comando-en este caso cinco.

flows La palabra clave hace juego el número de poste-agregación agregada de los flujos. Por ejemplo, show ip flow top los 2aggregate destination-address match 6 ordenan los agregados todos los flujos en los valores en su campo de IP Address de destino, y después visualizan a los transmisores superiores que tienen 6 flujos agregados.

Número de flujos correspondidos con

Si usted no especifica los criterios de concordancia y hay el tráfico en los flujos que incluye el campo que usted agregaba los flujos encendido, todos los flujos harán juego. Por ejemplo, si su router hace que 20 flujos con el tráfico IP y usted ingresen show ip flow top 10 aggregate destination-address el comando la visualización indicará que visualizarán 20 de 20 flujos correspondidos con, y a los 10 transmisores superiores.

Si usted utiliza la palabra clave de la coincidencia para limitar los flujos que se agregan a los flujos con un prefijo de destino de 224.0.0.0/3, y solamente un flujo hace juego este criterio que la salida indicará que una fuera de seis flujos correspondió con. Por ejemplo, si su router tiene 6 flujos con el tráfico IP, solamente solamente uno de ellos tiene un prefijo de destino de 224.0.0.0/3, y usted ingresa show ip flow top 10 aggregate destination-address match destination-prefix el comando 224.0.0.0/3, la visualización indicará que 1 de 6 flujos correspondió con.

Si el número total de transmisores superiores es menos que el número de transmisores superiores que fueron pedidos en el comando, el número total de transmisores superiores se visualiza. Por ejemplo, si usted ingresa un valor de cinco para el número de transmisores superiores para visualizar y hay solamente tres transmisores superiores que corresponden con los criterios que usted utilizó, la visualización incluirá solamente a tres transmisores superiores.

Cuando un criterio de la coincidencia se incluye con show ip flow top el comando, la muestra del resultado indicará que fluye “N de M correspondido con” donde el <= M N, N = los flujos correspondidos con, y los flujos M = del total considerados. Los números de flujos considerados podrían potencialmente ser más que el número total de flujos en el caché si algunos de los flujos analizados fueron quitados del caché y los nuevos flujos fueron creados delante de la punta actual, como los barridos superiores de la característica de los transmisores a través del caché. Por lo tanto, M no es el número total de flujos en el caché, pero bastante, el número de flujos observados.

Si usted intenta visualizar los transmisores superiores agregándolos en un campo que no sea en el caché usted verán que del “% de este caché agregación-campo” no está disponible para del mensaje el”. Por ejemplo, si usted utiliza show ip flow top el comando global de 5 fuente-VLAN, y usted no han habilitado la captura de las identificaciones de VLAN de los flujos, usted verá que “% de la identificación de VLAN no está disponible para el mensaje de este caché”.

NetFlow Top Talkers

Esta característica fue introducida en 12.3(11)T. Utilizan a los transmisores superiores del Netflow para obtener la información sobre los flujos individuales en el caché. No agrega los flujos como la característica superior dinámica de los transmisores CLI del Netflow.

La característica de los transmisores del top del Netflow compara todos los flujos y visualiza la información sobre cada uno de los flujos que tienen los volúmenes de tráfico más pesados (transmisores superiores). show ip flow top-talkers El comando le requiere preconfigurar al router que usa los comandos configuration de los transmisores del top del Netflow:

ip flow-top-talkers — Ingresa al modo de configuración de los transmisores de la tapa del Netflow.

sort-by — Selecciona la orden de la clase para los flujos en la muestra del resultado.

bytes– — Clasifique los flujos basados en las cantidades de bytes en cada flujo.

packets– — Clasifique los flujos basados en los números de paquetes en cada flujo.

top — Especifica el número de transmisores superiores para monitorear.

match (opcional) — especifica los criterios adicionales, tales como IP Addresses, los números del puerto, y así sucesivamente, que se deben corresponder con en el flujo para calificar como candidato para el estatus superior del transmisor.

Para una lista completa del criterio que corresponde con que usted puede seleccionar, refiera  ip flow top-talkers al comando en la referencia de comandos del Cisco IOS NetFlow. Si usted no configura los criterios de concordancia todos los flujos se consideran como candidatos como los transmisores superiores basados en el volumen de tráfico que representan.

show ip flow top talkers []verbose— Visualiza los flujos.

Para más información sobre el top del Netflow que los transmisores ofrecen, que refiera a configurar a los transmisores superiores del Netflow que usan los comandos o los comandos SNMP del Cisco IOS CLI.

Filtrado y Muestreo del Tráfico de NetFlow

El NetFlow proporciona estadísticas de tráfico por flujo altamente granulares en un router Cisco. Un flujo es una secuencia unidireccional de paquetes que llegan el router en la misma subinterfaz, tienen las mismas direcciones IP de origen y de destino, protocolo de Capa 4, los puertos TCP/UDP de origen y de destino, y el mismo byte ToS (tipo de servicio) en los encabezados IP. El router acumula las estadísticas de NetFlow en una memoria caché de NetFlow y puede exportarlas a un dispositivo externo (como Cisco Networking Services (CNS) NetFlow Collection Engine) para continuar su procesamiento.

Netflow completo gestiona todo el tráfico que ingresa en la subinterfaz en la que está habilitado. Pero en algunos casos, puede ser que recopile datos de NetFlow solamente en un subconjunto de este tráfico. La función Random Sampled NetFlow y la función NetFlow Input Filters proporcionan maneras de limitar el tráfico de entrada a solamente el tráfico de interés para el procesamiento de NetFlow. Random Sampled NetFlow proporciona datos de NetFlow a un subconjunto de tráfico de un router Cisco al procesar solamente un paquete seleccionado aleatoriamente entre n paquetes secuenciales. La función NetFlow Input Filters permite recopilar los datos de NetFlow solamente en un subconjunto del tráfico específico, definido por el usuario.


El Sampled NetFlowal azar de la nota es más estadístico exacto que el Sampled NetFlow. La capacidad de NetFlow de muestrear paquetes la proporcionaba al principio una función denominada Sampled NetFlow. La metodología que la función Sampled NetFlow utiliza es el muestreo deterministic, que selecciona cada nth paquete para el procesamiento de NetFlow por interfaz. Por ejemplo, si se establece la velocidad de muestreo en 1 de 100 paquetes, Sampled NetFlow muestrea los paquetes 1, 101, 201, 301, etc. Sampled NetFlow no permite el muestreo aleatorio y, por tanto, puede hacer que las estadísticas sean inexactas cuando el tráfico llega en patrones fijos.



Observelos algoritmos al azar del Sampled NetFlow son aplicado después de filtrar de la entrada.


El cuadro 6 compara la característica de los filtros de entrada del Netflow y la característica muestreada al azar del Netflow.

Comparación del cuadro 6 de la característica de los filtros de entrada del Netflow y de la característica al azar del Sampled NetFlow 

Categoría de la Comparación
Función NetFlow Input Filters
Función Random Sampled NetFlow

Breve descripción

Esta función habilita la recopilación de los datos de NetFlow en solamente un subconjunto específico de tráfico. Esto se hace creando filtros para seleccionar flujos para el procesamiento de Netflow. Por ejemplo, puedes seleccionar los flujos de un grupo específico de hosts. Esta función también permite seleccionar varias velocidades de muestreo para los flujos seleccionados.

Esta función proporciona datos de NetFlow para un subconjunto del tráfico en un router Cisco procesando un solo paquete seleccionado aleatoriamente entre n paquetes secuenciales (n es un parámetro configurable por el usuario). Se muestrean los paquetes cuando llegan (antes de que se realice cualquier entrada de la memoria caché de NetFlow para esos paquetes).

Usos principales

Puede utilizar esta función para el análisis y monitoreo basado en la clase del tráfico que hay en la red o fuera de ella.

Esta función es también útil si se tiene demasiado tráfico y se desea limitar el tráfico que se analiza.

Puede utilizar esta función para la ingeniería de tráfico, la planificación de capacidad y aplicaciones donde no se necesite NetFlow completo para tener un panorama preciso del tráfico de la red.

Esta función es también útil si se tiene demasiado tráfico y se desea limitar el tráfico que se analiza.

Soporte del formato de exportación

Esta función se soporta en los formatos de la exportación de NetFlow, versión 5 y versión 9.

Esta función se soporta en los formatos de la exportación de NetFlow, versión 5 y versión 9.

Soporte a la versión de Cisco IOS

12.3(4)T.

12.3(2)T, 12.2(18)S y 12.0(26)S.

Soporte de subinterfaz

Puede configurar NetFlow Input Filters para cada subinterface, así como por la interfaz física.

Puede seleccionar más de un filtro por subinterfaz y hacer que todos los filtros se ejecuten simultáneamente.

Puedes configurar la función Random Sampled NetFlow por subinterfaz o por interfaz física.

Usted no puede ejecutar el Netflow lleno y el Sampled NetFlow al azar en paralelo en la misma subinterfaz. Usted debe inhabilitar el Netflow lleno en la subinterfaz antes de que el Sampled NetFlow al azar tome el efecto.

El tráfico se recopila solamente en las subinterfaces en las cuales está configurado Random Sampled NetFlow. Al igual que en NetFlow completo, habilitar Random Sampled NetFlow en una interfaz física no habilita automáticamente Random Sampled NetFlow en las subinterfaces; hay que configurarlo explícitamente en las subinterfaces.

Impacto en la memoria

Esta función no requiere memoria adicional. Permite utilizar una memoria caché de NetFlow menor que NetFlow completo, ya que reduce de forma significativa el número de flujos. Esta característica requiere una cantidad de memoria insignificante para cada filtro configurado del Netflow.

Esta característica puede crear un caché de NetFlow más pequeño que por completo el Netflow si reduciendo el número de paquetes que son analizados los números de flujos en el caché también se reduce. Esta función requiere una cantidad de memoria insignificante para cada muestreador de NetFlow configurado.

Impacto en el rendimiento

La contabilización del tráfico clasificado permite ahorrar recursos de router reduciendo el número de flujos procesados y exportados. La cantidad de ancho de banda que se ahorra depende del uso y de los criterios del clase map.

Sin embargo, el rendimiento podría degradarse dependiendo del número y complejidad de los class maps configurados en una política.

El muestreo estadístico del tráfico reduce sustancialmente el consumo de recursos del router (especialmente recursos de la CPU) al tiempo que proporciona valiosos datos de NetFlow.

Esta función reduce drásticamente el impacto de la exportación de datos de NetFlow en el tráfico de la interfaz. Por ejemplo, una velocidad de muestreo de los paquetes de 1 de 100 reduce la exportación de los datos de NetFlow por el por ciento del cerca de 99%.


NetFlow Input Filters: Clasificación del Flujo

Para la función NetFlow Input Filters, la clasificación de los paquetes se puede basar en lo siguiente: Información sobre las direcciones IP de origen y destino, números de puerto y protocolo de capa 4, interfaz de entrada, dirección MAC, IP Precedence, valor DSCP, información de capa 2 (como los bits Frame Relay DE o Ethernet 802.1p) y Network-Based Application Recognition (NBAR). Los paquetes se clasifican (se filtran) según los criterios anteriores, y se les aplica la contabilización de flujo en subinterfaces.

El mecanismo de filtrado utiliza la interfaz de línea de comandos de calidad de servicio modular (MQC) para clasificar los flujos. Puede crear varios filtros con muestreadores coincidentes para cada subinterfaz. Por ejemplo, se puede subdividir el tráfico de la subinterfaz en varias clases basadas en los valores del tipo de servicio (ToS) o en los prefijos de destino (o en ambos). Para cada clase, también puede configurar el muestreo a distinta velocidad, usando velocidades más altas para las clases de tráfico de mayor prioridad y velocidades más bajas para las clases de tráfico de menor prioridad.

MQC tiene numerosas políticas (acciones), como la administración del envío a cola y la tasa del ancho de banda. Estas políticas se aplican solamente si un paquete coincide con un criterio de un class map que se aplique a la subinterfaz. Un mapa de clase contiene un conjunto de cláusulas e instrucciones coincidentes sobre cómo evaluar las cláusulas y actúa como filtro para las políticas, que se aplican solamente si el contenido de un paquete satisface la cláusula coincidente. La función NetFlow Input Filters añade la contabilización de NetFlow a la infraestructura MQC, lo cual significa que la contabilización del flujo se realiza en un paquete solamente si satisface las cláusulas de coincidencia.

Existen dos tipos de filtro disponibles:

Filtros de flujo de máscara basado en ACL

Campos de filtro (dirección IP de origen, dirección IP de destino, puerto de aplicación de origen, puerto de aplicación de destino, protocolo del puerto, bits ToS e indicadores TCP)

Para más información sobre la interfaz de la línea de comandos de la Calidad del servicio (QoS) modular (MQC) refiera a la guía de configuración de las soluciones de la Calidad de servicio de Cisco IOS.

Random Sampled NetFlow: Modo de Muestreo

El modo de muestreo utiliza un algoritmo que selecciona un subconjunto de tráfico para el proceso de NetFlow. En el modo del muestreo al azar que las aplicaciones al azar de la característica del Sampled NetFlow, los paquetes entrantes se seleccionan aleatoriamente por término medio uno fuera de los paquetes secuenciales cada n se selecciona para el proceso del Netflow. Por ejemplo, si usted fijó la velocidad de muestreo a los paquetes de 1 de 100, después el Netflow pudo muestrear el 5to paquete y entonces el 120o, 230o, 302o, y así sucesivamente. Esta configuración de muestra proporciona datos NetFlow en el 1 por ciento del tráfico total. El valor n es un parámetro que usted puede configurar a partir 1 a 65535 paquetes.

Random Sampled NetFlow: El mapa del dechado del Netflow

El Sampled NetFlow al azar es útil si usted tiene demasiado tráfico y le querer limitar el tráfico se analiza que. Una correspondencia del dechado del Netflow se crea con flow-sampler-map el comando del dechado-mapa-nombre. El modo del muestreo para la correspondencia del dechado se configura con mode random one-out-of el comando de la velocidad de muestreo. El rango de los valores para el argumento de la velocidad de muestreo es 1 a 65535. Cada mapa de muestreador de NetFlow se puede aplicar a una o varias subinterfaces, así como a interfaces físicas. La correspondencia del dechado se aplica a una interfaz o a una subinterfaz con flow-sampler el comando del dechado-mapa-nombre. Puede definir hasta ocho mapas de muestreadores NetFlow.

Cómo Configurar y Utilizar Netflow para Detectar y Analizar las Amenazas de la Red

Usando el Netflow detectar y analizar las amenazas de la red requiere una combinación de comandos configuration y de comandos show. Usted comienza configurando la capa 2 del Netflow y el monitoreo de la seguridad exporta la característica para capturar los valores de los campos adicionales de la NON-clave de los flujos para poderlos visualizar en el caché por los comandos show del Netflow. Se requiere la captura de los valores en los campos adicionales de la NON-clave de modo que usted pueda identificar la trayectoria que el tráfico está tomando con la red y otras características del tráfico tales como valores de TTL y valores de la Longitud del paquete.

Después de que usted configure la capa 2 del Netflow y el monitoreo de la seguridad exporta la característica, usted utiliza el comando CLI superior dinámico de los transmisores del Netflow de obtener una descripción de los flujos de tráfico que el router está remitiendo. La información de las visualizaciones de descripción tal como la Distribución del protocolo en los flujos, las dirección IP de origen que están enviando los flujos, y las redes los flujos se están enviando a.

Después de que usted identifique el tipo de flujos que usted quiera enfocar, encendido por ejemplo el tráfico ICMP, y otras características tales como dirección IP de origen y prefijos de la red de destino, usted utiliza la característica de los transmisores del top del Netflow para obtener centrado y la información detallada en los flujos individuales. La característica de los transmisores del top del Netflow se configura con los criterios de concordancia que se centra lo en los tipos de tráfico que usted ha identificado. Si su router está no perdiendo de vista varios flujos y usted está solamente interesado en analizar un subconjunto de ellos usted, puede configurar los filtros de entrada del Netflow para limitar los flujos que el Netflow está siguiendo.

Prerrequisitos

El CEF o el dCEF se debe configurar global, y en la interfaz que usted quiere ejecutar el Netflow encendido, antes de que usted configure la capa 2 del Netflow y las exportaciones del monitoreo de la seguridad.

Usted debe tener Netflow habilitado en por lo menos una interfaz en el router antes de que usted configure la capa 2 del Netflow y las exportaciones del monitoreo de la seguridad.

Si usted quiere capturar los valores del campo de desplazamiento del fragmento IP de la capa 3 de las encabezados IP en su tráfico IP usando ip flow-capture fragment-offset el comando, su router debe ser el Cisco IOS corriente 12.4(2)T o más adelante.

Esta sección contiene los siguientes procedimientos:

Configuración de la Capa 2 de NetFlow y las Exportaciones de Monitoreo de Seguridad

Verificación de NetFlow Layer 2 and Security Monitoring Exports

Uso de NetFlow Dynamic Top Talkers CLI para Mostrar la Distribución del Protocolo

Uso de NetFlow Dynamic Top Talkers CLI para Visualizar los Hablantes Principales de la Dirección IP de Origen que Envían Tráfico ICMP

Uso de NetFlow Dynamic Top Talkers CLI para Visualizar los Hablantes Principales de la Dirección IP de Destino que Reciben Tráfico ICMP

Configuración de NetFlow Top Talkers para Monitorear las Amenazas de la Red

Monitoreo y Análisis de los Flujos de NetFlow Top Talkers

Configuración del Filtrado y el Muestreo de NetFlow

Verificación del Filtrado y Muestreo de NetFlow

Monitoreo y Análisis de los Flujos de los Usuarios Principales Muestreados y Filtrados de NetFlow

Configuración de la Capa 2 de NetFlow y las Exportaciones de Monitoreo de Seguridad

Realice la tarea siguiente de configurar la capa 2 del Netflow y la característica de las exportaciones del monitoreo de la seguridad.

Prerrequisitos

Para exportar los datos capturados con el Netflow acode 2 y característica del monitoreo de la seguridad, usted debe configurar el Netflow para utilizar el formato de la exportación de datos de la versión 9 del Netflow.

PASOS SUMARIOS

1. enable

2. configure terminal

3. ip flow-capture fragment-offset

4. ip flow-capture icmp

5. ip flow-capture ip-id

6. ip flow-capture mac-addresses

7. ip flow-capture packet-length

8. ip flow-capture ttl

9. ip flow-capture vlan-id

10.interface interface-type interface-number

11ip flow ingress
y/o
ip flow egress

12. end

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

ip flow-capture fragment-offset

Example:

Router(config)# ip flow-capture fragment-offset

Los permisos que capturaban el valor del campo de desplazamiento del fragmento IP del primeros hicieron fragmentos del IP datagram en un flujo.

Paso 4 

ip flow-capture icmp

Example:

Router(config)# ip flow-capture icmp

Le permite para capturar el valor del tipo ICMP y el código coloca del primer datagrama ICMP en un flujo.

Paso 5 

ip flow-capture ip-id

Example:

Router(config)# ip flow-capture ip-id

Le permite para capturar el valor del campo IP-ID del primer IP datagram en un flujo.

Paso 6 

ip flow-capture mac-addresses

Example:

Router(config)# ip flow-capture mac-addresses

Le permite para capturar los valores de los MAC Address de origen y destino de la primera trama de la capa 2 en un flujo.

Paso 7 

ip flow-capture packet-length

Example:

Router(config)# ip flow-capture packet-length

Le permite para capturar el mínimo y los valores máximos del campo de la Longitud del paquete de los datagramas IP en un flujo.

Paso 8 

ip flow-capture ttl

Example:

Router(config)# ip flow-capture ttl

Le permite para capturar el mínimo y los valores máximos del campo del Tiempo para vivir (TTL) de los datagramas IP en un flujo.

Paso 9 

ip flow-capture vlan-id

Example:

Router(config)# ip flow-capture vlan-id

Le permite para capturar el 802.1q o el campo ISL VLAN-ID a partir de la trama encapsulada primera VLA N de la capa 2 en un flujo que se reciba o se transmita en un puerto troncal.

Paso 10 

interface type interface-type interface-number]

Example:

Router(config)# interface ethernet 0/0

Ingresa en el modo de configuración de la interfaz del tipo de interfaz especificado en el comando.

Paso 11 

ip flow ingress

y/o

ip flow egress

Example:

Router(config-if)# ip flow ingress

y/o

Example:

Router(config-if)# ip flow egress

Habilita la entrada de recolección de datos de NetFlow en la interfaz.

y/o

Habilita la salida de recolección de datos de NetFlow en la interfaz.

Paso 12 

end

Example:

Router(config)# end

Vuelve al modo EXEC privilegiado.

Verificación de NetFlow Layer 2 and Security Monitoring Exports

Esta tarea verifica que la capa 2 del Netflow y las exportaciones del monitoreo de la seguridad esté configurada correctamente. show ip cache verbose flow El comando da una vista detallada del estatus y las estadísticas para los flujos en el caché de la tubería del Netflow. Los valores para los campos de la NON-clave del Netflow que usted ha configurado con la capa 2 del Netflow y la característica de las exportaciones del monitoreo de la seguridad son incluidos para cada flujo.

Para ver los valores de los campos que usted ha configurado la capa 2 del Netflow y el monitoreo de la seguridad exporta la característica para capturar, su router debe remitir el tráfico IP que cumple los criterios para estos campos. Por ejemplo, si usted configura ip flow-capture vlan-id el comando, su router debe remitir los datagramas IP sobre las interfaces se configuran que mientras que los troncales VLAN para capturar el VLAN-ID valoran de las tramas de la capa-dos que llevan los datagramas IP en el flujo.

Restricciones

Visualizar la Información Detallada de Caché de NetFlow en Plataformas que Ejecutan Cisco Express Forwarding Distribuido

En plataformas que ejecutan dCEF, la información de memoria caché de NetFlow se mantiene en cada tarjeta de línea o procesador de interfaz versátil. Si usted quiere utilizar show ip cache verbose flow el comando de visualizar esta información sobre una plataforma distribuida, usted debe ingresar el comando en un prompt del linecard.

Cisco 7500 Series Platform

Para mostrar información detallada de la memoria caché de NetFlow mediante el comando en un Cisco 7500 Series Router que ejecute dCEF distribuido, ingrese la siguiente secuencia de comandos:

Router# if-con slot-number
LC-slot-number# show ip cache verbose flow 

Para Cisco IOS versiones 12.3(4)T, 12.3(6), 12.2(20)S y posteriores, ingrese el siguiente comando para ver información detallada sobre la memoria caché de NetFlow:

Router# execute-on slot-number show ip cache verbose flow 

Cisco 12000 Series Platform

Para visualizar información detallada de la memoria caché de NetFlow en un router de Internet Cisco 12000 Series, ingrese la secuencia de comandos siguiente:

Router# attach slot-number
LC-slot-number# show ip cache verbose flow

Para Cisco IOS versiones 12.3(4)T, 12.3(6), 12.2(20)S y posteriores, ingrese el siguiente comando para ver información detallada sobre la memoria caché de NetFlow:

Caché execute-on slot-number del IP de la demostración del Router- prolijo flow

Para verificar la configuración de NetFlow Layer 2 and Security Monitoring Exports utilice el paso siguiente.

PASOS SUMARIOS

1. show ip cache verbose flow

PASOS DETALLADOS


Paso 1 show ip cache verbose flow

Este ejemplo muestra que la capa 2 del Netflow y las exportaciones del monitoreo de la seguridad está trabajando correctamente porque los valores se han capturado de los campos de la capa 3 y de la capa 2 de la NON-clave en los flujos. Los valores capturados en los flujos se muestran en el texto en negrita.

Router# show ip cache verbose flow
IP packet size distribution (33978 total packets):
1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
.856 .143 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000

512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
.000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 278544 bytes
14 active, 4082 inactive, 59 added
12452 ager polls, 0 flow alloc failures
Active flows timeout in 10 minutes
Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 25736 bytes
28 active, 996 inactive, 148 added, 59 added to flow
0 alloc failures, 0 force free
1 chunk, 1 chunk added
last clearing of statistics never
Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
TCP-SMTP             2      0.0      1730    40      3.6     600.7       0.2
UDP-other           31      0.0         1    54      0.0       3.6      16.8
ICMP                12      0.0      1728    28     22.0     600.1       0.1
Total:              45      0.0       538    29     25.7     189.2      11.6

SrcIf          SrcIPaddress    DstIf          DstIPaddress    Pr TOS Flgs  Pkts
Port Msk AS                    Port Msk AS    NextHop              B/Pk  Active
.
.
.
Et0/0.1        10.71.200.138   Et1/0.1        172.16.10.2     01 00  10     696
0000 /0  0                     0C01 /0  0     0.0.0.0                28   241.4
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:       28                            Max plen:        28
Min TTL:        59                            Max TTL:         59
ICMP type:      12                            ICMP code:        1
IP id:           0


Uso de NetFlow Dynamic Top Talkers CLI para Mostrar la Distribución del Protocolo

Usted puede obtener una descripción rápida del tráfico en su red viendo la Distribución del protocolo. Utilice esta tarea de visualizar a los transmisores superiores (flujos agregados) para estos tres Tipos de protocolo del IPv4:

1: ICMP

6: TCP

17: UDP

PASOS SUMARIOS

1.muestre el agregado-campo del número del top del flujoaggregate del IP sorted-by packets descending

DETAILED STEPS


Agregado-campo del númeroshow ip flow top del pasoaggregate 1 sorted-by packets descending

El siguiente ejemplo busca a hasta tres transmisores superiores, los agrega en el campo del protocolo, los clasifica por los paquetes, y visualiza la salida en el orden descendente:

Router# show ip flow top 3 aggregate protocol sorted-by packets descending 

There are 3 top talkers:

IPV4 PROT       bytes        pkts       flows
=========  ==========  ==========  ==========
        1      406196       14507          12
        6       96560        2414           2
       17          52           1           1


15 of 15 flows matched.

El cuadro 7 describe los campos significativos mostrados en la muestra del resultado.

Protocolo global del top 3 del flujo del IP de la demostración del cuadro 7 clasificar-por los paquetes que descienden las Descripciones del campo 

Campo
Descripción

Hay 3 transmisores superiores

Se muestra el número de usuarios principales.

IPV4 PROT

Esta posición en la salida de visualización se utiliza para mostrar el campo seleccionado para añadir los flujos.

protocol La palabra clave agrega el tráfico del IPv4 en los flujos basados en el Tipo de protocolo del IPv4. En este ejemplo hay tres Tipos de protocolo del IPv4 en los flujos:

1: ICMP

6: TCP

17: UDP

bytes

Muestra los números de bytes en los flujos agregados para cada Top Talker.

pkts

Muestra los números de paquetes en los flujos agregados para cada hablante principal.

flujos

Muestra los números de flujos agregados para cada Top Talker.

15 de 15 flujos correspondidos con.

Muestra el número de flujos que coinciden con el comando.


Los 15 flujos en el router se agregan en tres transmisores superiores. En este ejemplo todo el tráfico del flujo es tráfico superior del transmisor.

La mayoría del tráfico es tráfico ICMP (protocolo IP tipo 1). Esto pudo indicar que un ataque DOS ICMP está en curso.


Uso de NetFlow Dynamic Top Talkers CLI para Visualizar los Hablantes Principales de la Dirección IP de Origen que Envían Tráfico ICMP

La muestra del resultado del show ip flow top 10 aggregate protocol sorted-by packets descending usado al usar a los transmisores superiores dinámicos CLI del Netflow para visualizar la sección de la Distribución del protocolo indica que hay un ataque basado en ICMP posible DOS en curso. El siguiente paso a tomar es identificar los flujos que están enviando el tráfico ICMP. En este caso los flujos serán agregados en las dirección IP de origen.

PASOS SUMARIOS

1.muestre el coincidencia-campo del agregado-campo del número del topaggregate del flujosorted-by packets match del IP match-value

PASOS DETALLADOS


Coincidencia-campo del agregado-campodel número del top del flujo del IP de la demostraciónaggregate del pasosorted-by packets match 1 match-value

El siguiente comando busca a hasta 20 transmisores superiores, los agrega en la dirección IP de origen, los clasifica por los paquetes, y las coincidencias en el ICMP del protocolo:

Router# show ip flow top 20 aggregate source-address sorted-by packets match protocol icmp

There are 6 top talkers:

IPV4 SRC-ADDR         bytes        pkts       flows
===============  ==========  ==========  ==========
10.132.221.111        90440        3230           1
10.10.12.1            90440        3230           1
10.251.138.218        90440        3230           1
10.71.200.138         90384        3228           1
10.231.185.254        90384        3228           1
10.106.1.1            90356        3227           1


6 of 15 flows matched.


Router

El cuadro 8 describe los campos significativos mostrados en la visualización.

El fuente-direccionamiento global del top 20 del flujo del IP de la demostración del cuadro 8 clasificar-por los paquetes hace juego las Descripciones del campo ICMP del protocolo 

Campo
Descripción

Hay 6 transmisores superiores

Se muestra el número de usuarios principales.

Se visualizala nota solamente 6 transmisores superiores, aunque usted pidió 20, porque solamente 6 de los 15 flujos en el caché correspondieron con los criterios usted especificó. El número 20 es un límite superior que será aplicado en caso que haya sobre 20 transmisores superiores.

IPV4 SRC-ADDR

Esta posición en la salida de visualización se utiliza para mostrar el campo seleccionado para añadir los flujos.

source-address La palabra clave agrega los flujos basados en la dirección IP de origen. En este ejemplo hay 6 IP Source Address con los flujos agregados. Cada uno de los IP Addresses tiene 1 flujo, por lo tanto no se realizó ninguna agregación:

10.132.221.111

10.10.12.1

10.251.138.218

10.71.200.138

10.231.185.254

10.106.1.1

bytes

Muestra los números de bytes en los flujos agregados para cada Top Talker.

pkts

Muestra los números de paquetes en los flujos agregados para cada hablante principal.

flujos

Muestra los números de flujos agregados para cada Top Talker.

6 de 15flows correspondido con.

Muestra el número de flujos que coinciden con el comando.


El tráfico ICMP se agrega en seis transmisores superiores (dirección IP de origen). Cada transmisor superior tiene un flujo. No se realiza ninguna agregación en este tráfico porque hay una correlación 1 a 1 de los IP Source Address y fluye.


Uso de NetFlow Dynamic Top Talkers CLI para Visualizar los Hablantes Principales de la Dirección IP de Destino que Reciben Tráfico ICMP

La muestra del resultado show ip flow top 5 aggregate source-address sorted-by packets match protocol icmp del comando usado al usar a los transmisores superiores dinámicos CLI del Netflow para visualizar a los transmisores del top de la dirección IP de origen que enviaban la sección del tráfico ICMP mostró a los seis transmisores superiores (IP Source Address) que están enviando los 12 flujos de tráfico ICMP. El siguiente paso a tomar es identificar los flujos que son la blanco del tráfico ICMP. En este caso los flujos serán agregados en los IP Address de destino.

PASOS SUMARIOS

1.muestre el coincidencia-campo del agregado-campo del número del topaggregate del flujosorted-by packets match del IP match-value

PASOS DETALLADOS


Coincidencia-campo del agregado-campodel número del top del flujo del IP de la demostraciónaggregate del pasosorted-by packets match 1 match-value

El siguiente comando busca a hasta 20 transmisores superiores, los agrega en el IP Address de destino, los clasifica por los paquetes, y las coincidencias en el ICMP del protocolo

Router# show ip flow top 20 aggregate destination-address sorted-by packets match protocol 
icmp

There is 1 top talker:

IPV4 DST-ADDR         bytes        pkts       flows
===============  ==========  ==========  ==========
172.16.10.2          407456       14552           6


6 of 14 flows matched.


Router

El cuadro 9 describe los campos significativos mostrados en la visualización.

La dirección destino global del top 20 del flujo del IP de la demostración del cuadro 9 clasificar-por los paquetes hace juego las Descripciones del campo ICMP del protocolo 

Campo
Descripción

Hay 1 transmisor superior

Se muestra el número de usuarios principales.

El tráfico ICMP se agrega en 6 flujos para los IP Address de destino uno.

IPV4 DST-ADDR

Esta posición en la salida de visualización se utiliza para mostrar el campo seleccionado para añadir los flujos.

destination-address La palabra clave agrega los flujos basados en el IP Address de destino. En este ejemplo hay el IP Destination Address 3 con los flujos agregados. Los IP Addresses tienen 8 flujos agregados:

172.16.10.2

bytes

Muestra los números de bytes en los flujos agregados para cada Top Talker.

pkts

Muestra los números de paquetes en los flujos agregados para cada hablante principal.

flujos

Muestra los números de flujos agregados para cada Top Talker.

6 de 14 flujos correspondidos con.

Muestra el número de flujos que coinciden con el comando.


La tarea anterior identificó a seis transmisores superiores ICMP basados en las dirección IP de origen que cada uno tenía un flujo. Esta tarea identificó que hay un transmisor superior ICMP basado en los IP Address de destino que es la blanco para 6 flujos individuales. Hay una correlación 1 a 1 entre el número de flujos ICMP en los transmisores superiores agregados en la dirección IP de origen y el número de ICMP fluye en los transmisores superiores agregados en el IP Address de destino. Hay una alta probabilidad que un ataque basado en ICMP DOS en el host con la dirección IP de 172.16.10.2 está en curso.


Configuración de NetFlow Top Talkers para Monitorear las Amenazas de la Red

La tarea anterior (usando los transmisores superiores dinámicos CLI del Netflow para visualizar a los transmisores del top del IP Address de destino que reciben el tráfico ICMP) identificó un ataque basado en ICMP probable DOS en el host con la dirección IP 172.16.10.2. Esta tarea utiliza la característica de los transmisores del top del Netflow para configurar al router para monitorear el ataque DOS siguiendo los flujos individuales ICMP. Después de que usted haya configurado la característica de los transmisores del top del Netflow para centrarse en el tráfico del ataque DOS, usted puede utilizar show ip flow top-talkers verbose el comando de identificar la trayectoria que el tráfico DOS está tomando a través de la red.

Realice la tarea siguiente de configurar la característica de los transmisores del top del Netflow.

PASOS SUMARIOS

1. enable

2. configure terminal

3. ip flow-top-talkers

4.dirección destino /prefix-maskip-address de la coincidencia

5.top número

6.sort by [bytes | packets]

7. end

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

ip flow-top-talkers

Example:

Router(config)# ip flow-top-talkers

Ingresa en el modo de configuración de NetFlow top talkers.

Paso 4 

match destination address 
ip-address/prefix-mask
Example:

Router(config-flow-top-talkers)# match destination address 172.16.10.2/32

Especifica los IP Address de destino para hacer juego.

Paso 5 

top number

Example:

Router(config-flow-top-talkers)# top 50

Especifica el número máximo de hablantes principales que se recuperarán con una consulta de hablantes principales de NetFlow.

Paso 6 

sort-by [bytes | packets]

Example:

Router(config-flow-top-talkers)# sort-by packets

Especifica el criterio de ordenación de los usuarios más activos.

Los usuarios más activos se pueden ordenar por el número total de paquetes de cada usuario más activo o el número total de bytes de cada usuario más activo.

Paso 7 

end

Example:

Router(config-flow-top-talkers)# end

Sale al modo EXEC privilegiado.

Monitoreo y Análisis de los Flujos de NetFlow Top Talkers

Para monitorear y analizar los flujos de los transmisores del top del Netflow, utilice el paso siguiente.

PASOS SUMARIOS

1. show ip flow top-talkers verbose

PASOS DETALLADOS


Paso 1 show ip flow top-talkers verbose

La muestra siguiente muestra los detalles para los seis flujos de tráfico que se están enviando al host con la dirección IP 172.16.10.2.

Router# show ip flow top-talkers verbose

SrcIf          SrcIPaddress    DstIf          DstIPaddress    Pr TOS Flgs Bytes
Port Msk AS                    Port Msk AS    NextHop              B/Pk  Active
Et0/0.1        10.106.1.1      Et1/0.1        172.16.10.2     01 00  10    9408 
0000 /0  0                     0800 /0  0     0.0.0.0                28   116.3
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:       28                            Max plen:        28
Min TTL:        59                            Max TTL:         59
ICMP type:       8                            ICMP code:        0
IP id:           0

Et0/0.1        10.132.221.111  Et1/0.1        172.16.10.2     01 00  10    9408 
0000 /0  0                     0800 /0  0     0.0.0.0                28   116.4
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:       28                            Max plen:        28
Min TTL:        59                            Max TTL:         59
ICMP type:       8                            ICMP code:        0
IP id:           0

Et0/0.1        10.10.12.1      Et1/0.1        172.16.10.2     01 00  10    9408 
0000 /0  0                     0C01 /0  0     0.0.0.0                28   116.4
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:       28                            Max plen:        28
Min TTL:        59                            Max TTL:         59
ICMP type:      12                            ICMP code:        1
IP id:           0

Et0/0.1        10.251.138.218  Et1/0.1        172.16.10.2     01 00  10    9408 
0000 /0  0                     0C01 /0  0     0.0.0.0                28   116.4
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:       28                            Max plen:        28
Min TTL:        59                            Max TTL:         59
ICMP type:      12                            ICMP code:        1
IP id:           0

Et0/0.1        10.71.200.138   Et1/0.1        172.16.10.2     01 00  10    9408 
0000 /0  0                     0C01 /0  0     0.0.0.0                28   116.5
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:       28                            Max plen:        28
Min TTL:        59                            Max TTL:         59
ICMP type:      12                            ICMP code:        1
IP id:           0

Et0/0.1        10.231.185.254  Et1/0.1        172.16.10.2     01 00  10    9408 
0000 /0  0                     0C01 /0  0     0.0.0.0                28   116.5
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:       28                            Max plen:        28
Min TTL:        59                            Max TTL:         59
ICMP type:      12                            ICMP code:        1
IP id:           0

6 of 50 top talkers shown. 6 of 8 flows matched.


Observesolamente seis de los ocho flujos correspondidos con porque el resto de los flujos no es flujos superiores del transmisor.



Observelos 50 flujos superiores fueron pedidos, sin embargo hay solamente ocho flujos en el caché.


Esta muestra del resultado contiene la información requerida para determinar la trayectoria que el tráfico del ataque DOS está tomando a través de la red. Esta información será utilizada para reaccionar al ataque DOS agregando las medidas de seguridad tales como listas de acceso a las interfaces afectadas. El cuadro 10 describe los campos significativos en la visualización show ip flow top-talkers verbose del comando para determinar el trayecto de red que el tráfico DOS está tomando.

Descripciones del campo significativas del cuadro 10 para los top-transmisores del flujo del IP de la demostración prolijos 

Campo
Descripción

SrcIf

Interfaz en la que se recibió el paquete.

Todo el tráfico DOS ICMP se está recibiendo en Et0/0.1

SrcIPaddress

Ésta es la dirección IP de origen del tráfico en los seis transmisores superiores. El tráfico está utilizando 6 diversos IP Source Address

10.132.221.111

10.10.12.1

10.251.138.218

10.71.200.138

10.231.185.254

10.106.1.1

DstIf

Interfaz desde la que se transmitió el paquete.

Todo el tráfico DOS ICMP se está transmitiendo sobre Et1/0.1

Observesi un asterisco (*) sigue inmediatamente el campo de DstIf, el flujo que es mostrado es un flujo de la salida.

Tipo de ICMP

Los tipos del datagrama ICMP

8 — Generación de eco

12 — Problema de parámetro

Código ICMP

Los códigos ICMP

0 — Ninguno (no corresponde)

1 — Depende del tipo ICMP

– Un valor del código de 1 para el tipo 12 ICMP indica que una opción obligatoria falta

DstIPaddress

Es la dirección IP de destino del tráfico.

La nota172.17.10.2 es la dirección IP se está atacando que.

MAC

Éstas son las direcciones MAC de origen y destino del tráfico. La dirección MAC de origen y de destino se lee de izquierda a derecha en la salida.

El tráfico se está recibiendo desde la dirección MAC aaa.bbb.cc03.

Observeesta dirección MAC es la interfaz 1/0.1 en el r2 del router.

El tráfico se está transmitiendo a la dirección MAC aaa.bbb.cc06.

Observeesta dirección MAC es la interfaz 1/0.1 en el router R4.

ID de VLAN

Éstos son los IDs de VLAN de origen y destino. Los IDs de VLAN de origen y destino se leen de izquierda a derecha en la salida.

El tráfico se está recibiendo desde VLAN 5.

El tráfico se está transmitiendo a VLAN 6.


Los flujos en esta demostración del ejemplo solamente el tráfico del ataque DOS ICMP que es destinado para el host con la dirección IP 172.16.10.2. Estos flujos fueron creados específicamente para documentar esta tarea. En una red real, el host bajo ataque pudo comunicar con otros hosts que están utilizando las aplicaciones legítimas tales como email y Web site. En este caso, los transmisores superiores hacen juego el filtro en el IP Address de destino (match destination address 172.16.10.2/32) que fue configurado en “configurando a los transmisores superiores del Netflow para monitorear la sección de las amenazas de la red” no limitará la visualización show ip flow top-talkers del comando al tráfico del ataque DOS ICMP.


Observepara más información sobre los campos en la muestra del resultado show ip cache verbose flow del comando, refiera a la referencia de comandos del Cisco IOS NetFlow.


Si usted está utilizando la característica superior de los transmisores para analizar una amenaza de la red y usted no puede utilizar la coincidencia básica filtra para limitar la visualización show ip flow top-talkers del comando al tráfico que usted está analizando, usted puede utilizar el Netflow que filtra y que muestrea para limitar el tráfico que aparece en la visualización show ip flow top-talkers del comando. El proceso para configurar el Netflow que filtra y que muestrea se explica en “configurar el Netflow que filtra y que muestrea” la sección.


Configuración del Filtrado y el Muestreo de NetFlow

Si usted utiliza show ip cache flow el comando o show ip cache verbose flow el comando de visualizar los flujos en el caché, usted verá los flujos ICMP que son seleccionados por el Netflow que filtra y que muestrea en la interfaz Ethernet0/0.1, y los flujos para todos los tipos de tráfico soportados Netflow en cualquier otra interfaz que el Netflow esté funcionando con encendido. show ip flow top-talkers Se utilizaverbose el comando del []de visualizar el estatus y las estadísticas del flujo para el tipo de tráfico que usted configuró con los criterios de concordancia sobre las interfaces a las cuales usted aplicó la política de servicio. Por ejemplo, en este caso usted configuró a los transmisores superiores para hacer juego en el tráfico ICMP enviado de cualquier host que esté llegando en Ethernet0/0.1 y destinado para 172.16.10.2.

En esta tarea la característica superior de los transmisores se está utilizando más como un filtro del flujo para separar los flujos de interés de todos los flujos que el router está viendo, bastante que un filtro para visualizar los flujos con los volúmenes de tráfico más altos. Utilizan a los transmisores superiores de este modo porque en este ejemplo todos los flujos del ataque DOS ICMP están de interés, no apenas los flujos con los volúmenes más altos. Esta es la razón por la cual un valor grande se asigna top a la palabra clave en la configuración superior de los transmisores. La determinación del valor para top la palabra clave a 50 cuando el número más grande de flujos del ataque DOS ICMP seguidos por el router es 12 se asegura de que todos los flujos del ataque DOS ICMP serán seguidos.

Si su router ve un número significativo de flujos implicados en un ataque DOS, usted puede ser que quiera fijar el valor para top la palabra clave a un número que es menos que el número total de flujos para limitar el número de flujos que usted vea en la visualización cuando usted utiliza show ip flow top-talkers el comando. Esto se asegurará de que usted esté viendo los flujos que tienen el más en grandes cantidades del tráfico del ataque DOS. Sin embargo, si todos los flujos tienen el mismo volumen de tráfico, show ip flow top-talkers el comando no podrá distinguir entre ellos. Visualiza el número de flujos a los cuales usted fije el valor top de la palabra clave, a partir del primer flujo en el caché.

Realice la tarea siguiente de configurar el Netflow que filtra y que muestrea.

Restricciones

Restricciones para NetFlow Input Filters

En las plataformas Cisco 7500, la función NetFlow Input Filters solamente se soporta en modo distribuido.

Restricciones de Random Sampled NetFlow

Si se habilita NetFlow completo en una interfaz, tiene precedencia sobre Random Sampled NetFlow (que no tendrá así ningún efecto). Inhabilite el Netflow lleno en una interfaz antes de habilitar el Sampled NetFlow al azar en esa interfaz.

La habilitación de Random Sampled NetFlow en una interfaz física no habilita automáticamente Random Sampled NetFlow en las subinterfaces; debe configurarlo explícitamente en las subinterfaces. Además, la inhabilitación de Random Sampled NetFlow en una interfaz física (o una subinterfaz) no habilita NetFlow completo. Esta restricción evita que la transición a NetFlow completo sature la interfaz física (o la subinterfaz). Si quiere NetFlow completo, debe habilitarlo explícitamente.

Usted debe utilizar la versión 9 del Netflow si usted quiere utilizar las plantillas o el dechado ID de la opción del dechado del Netflow de la visión.

PASOS SUMARIOS

1. enable

2. configure terminal

3. flow-sampler-map sampler-map-name

4.mode random one-out-ofintervalo del paquete

5.salida

6.clase-mapa [match-all | match-any] clase-mapa-nombre

7.match access-group acceso-grupo

8. exit

9.policy-map Policy-map-name

10. class {class-name | class-default}

11Netflow-dechado sampler-map-name

12. exit

13. exit

14. interface-type interface-number de la interfaz

15. no [ip route-cache flow | ip flow ingress]

16. service-policy {input | output} Policy-map-name

17. exit

18. flujo-top-transmisores del IP

19. número superior

20. clase-por los paquetes

21. match class-map nombre de la clase

22. no match destination address IP address/prefijo-máscara

23. exit

24. origen destino ICMP del permiso del access-list-number de la lista de acceso

25. end

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

flow-sampler-map sampler-map-name

Example:

Router(config)# flow-sampler-map icmp-dos-fs-map

Define una correspondencia estadística del dechado del flujo de la exportación de NetFlow del muestreo.

El argumento sampler-map-name es el nombre del mapa del muestreador de flujo que se debe definir.

Ingresar flow-sampler-map el comando habilita al modo de configuración del dechado del flujo.

Paso 4 

mode random one-out-of packet-interval

Example:

Router(config-sampler-map)# mode random one-out-of 2

Especifica un modo estadístico del muestreo al azar de la exportación de NetFlow del muestreo y un intervalo del paquete.

random La palabra clave especifica que el muestreo utiliza el modo del muestreo al azar.

El parpacket-interval de uno-hacia fuera-de argumento-palabra especifica el intervalo del paquete (uno fuera de los paquetes cada n) del cual para muestrear. Para n, puede especificar de 1 a 65.535 (paquetes).

Paso 5 

exit

Example:

Router(config-sampler-map)# exit

Sale y vuelve al modo de configuración global.

Paso 6 

class-map class-map-name [match-all | match-any]

Example:

Router(config)# class-map match-any icmp-dos-class-map

Crea un class map que se utilizará para asociar paquetes con una clase especificada.

class-map-name El argumento es el nombre de la clase para la correspondencia de la clase. El nombre puede tener un máximo de 40 caracteres alfanuméricos. El nombre de la clase se utiliza tanto para el class map como para la política de configuración de la clase en el policy map.

match-all | match-any Las palabras claves determinan cómo se evalúan los paquetes cuando existen los criterios de concordancia múltiples. Los paquetes deben cualquier reunión todos los criterios de concordancia (match-all) o solamente uno de los criterios de concordancia (match-any) que se considerarán un miembro de la clase.

Ingresar class-map el comando habilita el modo del configuración class-map, en el cual usted puede ingresar uno de los comandos match de configurar los criterios de concordancia para esta clase.

Paso 7 

match access-group access-group

Example:

Router(config-cmap)# match access-group 101

Configura los criterios de concordancia para una correspondencia de la clase en base del Access Control List especificado (ACL).

access-group El argumento es un ACL numerado cuyo contenido se utiliza como los criterios de concordancia contra los cuales los paquetes se marcan para determinar si pertenecen a esta clase. Un número ACL puede ser un número de 1 a 2699.

Paso 8 

exit

Example:

Router(config-cmap)# exit

Sale y vuelve al modo de configuración global.

Paso 9 

policy-map policy-map-name
Example:

Router(config)# policy-map icmp-dos-policy-map

Crea o modifica un policy map que se puede asociar a una o más interfaces para especificar una política de servicio.

El argumento policy-map-name es el nombre del policy map. El nombre puede tener un máximo de 40 caracteres alfanuméricos.

Ingresar policy-map el comando habilita el modo de la configuración de correspondencia de políticas del Calidad de Servicio (QoS), en el cual usted puede configurar o modifica las políticas de clase para esa correspondencia de políticas

Paso 10 

class {class-name | class-default}

Example:

Router(config-pmap)# class icmp-dos-class-map

Especifica el nombre de la clase cuya política quiere crear o cambiar, o especifica la clase predeterminada (conocida comúnmente como clase class-default) antes de configurar su política.

El argumento class-name es el nombre de la clase para la que se desea configurar o modificar la política.

class-default La palabra clave especifica la clase predeterminada de modo que usted pueda configurar o modificar su directiva.

Ingresar class el comando habilita al modo de configuración de clase del directiva-mapa de QoS.

Paso 11 

netflow-sampler sampler-map-name
Example:

Router(config-pmap-c)# netflow-sampler icmp-dos-fs-map

Habilita un dechado del filtro de entrada del Netflow.

El argumento sampler-map-name es el nombre del mapa de muestreador de NetFlow que se aplica a la clase.

Puede asignar solamente un muestreador de filtro de entrada de NetFlow a una clase. Asignar otro muestreador de filtro de entrada de NetFlow a una clase sobrescribe el anterior.

Paso 12 

exit

Example:

Router(config-pmap-c)# exit

Salidas de nuevo al modo de la configuración de correspondencia de políticas.

Paso 13 

exit

Example:

Router(config-pmap# exit

Sale y vuelve al modo de configuración global.

Paso 14 

interface interface-type 
interface-number[.subinterface number]
Example:

Router(config)# interface Ethernet0/0.1

Especifica la interfaz y ingresa el modo de la configuración de la subinterfaz.

El argumento del tipo de interfaz es el tipo de interfaz que se configurará.

El argumento del Número de interfaz es el número de la interfaz. Refiérase al manual de hardware pertinente para obtener información sobre el slot y el puerto.

Paso 15 

no [ip route-cache flow | ip flow ingress]
Example:

Router(config-subif)# no ip flow ingress

Quita el comando existente del Netflow de la interfaz.

Observeel muestreo del Netflow y la filtración no puede comenzar si hay otro comando en la interfaz que está habilitando el Netflow.

Paso 16 

service-policy {input | output} policy-map-name

Example:

Router(config-subif)# service-policy input icmp-dos-policy-map

Asocia una correspondencia de políticas a una interfaz de entrada o virtual circuit (VC), o una interfaz de salida o VC, para ser utilizado como la política de servicio para esa interfaz o el VC.

input La palabra clave asocia la correspondencia de políticas especificada a la interfaz de entrada o al VC de la entrada.

output La palabra clave asocia la correspondencia de políticas especificada a la interfaz de salida o al VC de la salida.

El Policy-map-name es el nombre de una correspondencia de la política de servicio (creada con el uso policy-map del comando) que se asociará. El nombre puede tener un máximo de 40 caracteres alfanuméricos.

Paso 17 

exit

Example:

Router(config-subif)# exit

Sale y vuelve al modo de configuración global.

Paso 18 

ip flow-top-talkers
Example:

Router(config)# ip flow-top-talkers

Ingresa en el modo de configuración de NetFlow top talkers.

Paso 19 

top number
Example:

Router(config-flow-top-talkers)# top 50

Especifica el número máximo de hablantes principales que se recuperarán con una consulta de hablantes principales de NetFlow.

Paso 20 

sort-by packets
Example:

Router(config-flow-top-talkers)# sort-by packets

Especifica el criterio de ordenación de los usuarios más activos.

Los usuarios más activos se pueden ordenar por el número total de paquetes de cada usuario más activo o el número total de bytes de cada usuario más activo.

Paso 21 

match class-map class-name
Example:

Router(config-flow-top-talkers)# match class-map icmp-dos-class-map

Especifica que los criterios de concordancia se deben obtener del clase-mapa.

Paso 22 

no match destination address ip-address/prefix-mask

Example:

Router(config-flow-top-talkers)# no match destination address 172.16.10.2/32

(Opcional) si usted todavía tiene una entrada de la coincidencia para la dirección destino usted debe quitarla para solamente utilizar los criterios de concordancia del nombre de la clase.

Paso 23 

exit

Example:

Router(config-sampler-map)# exit

Sale y vuelve al modo de configuración global.

Paso 24 

access-list access-list-number permit icmp source destination

Example:

Router(config)# access-list 101 permit icmp any host 172.16.10.2

Crea una lista de acceso ampliada que se utilice para seguir cualquier host que esté enviando el tráfico ICMP a 172.16.10.2.

Paso 25 

end

Example:

Router(config)# end

Sale al modo EXEC privilegiado.

Verificación del Filtrado y Muestreo de NetFlow

Para verificar eso que filtra y que muestrea está trabajando correctamente, utiliza el paso siguiente.

PASOS SUMARIOS

1. show flow-sampler

PASOS DETALLADOS


Paso 1 show flow-sampler

Cualquier valor sin cero en la muestra del resultado abajo indica que filtrando y muestreando es activo.

Router# show flow-sampler 

Sampler : icmp-dos-fs-map, id : 1, packets matched : 63226, mode : random sampling mode
  sampling interval is : 2
Router

Monitoreo y Análisis de los Flujos de los Usuarios Principales Muestreados y Filtrados de NetFlow

Para monitorear y analizar los flujos superiores filtrada y del Sampled NetFlow de los transmisores utilizan el paso siguiente.

PASOS SUMARIOS

1. show ip flow top-talkers

2. show ip flow top-talkers verbose

PASOS DETALLADOS


Paso 1 show ip flow top-talkers

La salida de muestra siguiente muestra los seis flujos de tráfico que se están enviando al host con la dirección IP 172.16.10.2.

Router# show ip flow top-talkers

SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP Bytes
Et0/0.1       10.231.185.254  Et1/0.1       172.16.10.2     01 0000 0C01  5460 
Et0/0.1       10.106.1.1      Et1/0.1       172.16.10.2     01 0000 0800  5124 
Et0/0.1       10.132.221.111  Et1/0.1       172.16.10.2     01 0000 0800  5012 
Et0/0.1       10.251.138.218  Et1/0.1       172.16.10.2     01 0000 0C01  4844 
Et0/0.1       10.10.12.1      Et1/0.1       172.16.10.2     01 0000 0C01  4704 
Et0/0.1       10.71.200.138   Et1/0.1       172.16.10.2     01 0000 0C01  4396 
6 of 50 top talkers shown. 6 of 7 flows matched.

Paso 2 show ip flow top-talkers verbose

La salida de muestra siguiente abajo muestra los detalles para los seis flujos de tráfico que se están enviando al host con la dirección IP 172.16.10.2.

Router# show ip flow top-talkers verbose 

SrcIf          SrcIPaddress    DstIf          DstIPaddress    Pr TOS Flgs Bytes
Port Msk AS                    Port Msk AS    NextHop              B/Pk  Active
Et0/0.1        10.106.1.1      Et1/0.1        172.16.10.2     01 00  10    2884 
0000 /0  0                     0800 /0  0     0.0.0.0                28    64.6
Sampler: 1  Class: 1  
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:       28                            Max plen:        28
Min TTL:        59                            Max TTL:         59
ICMP type:       8                            ICMP code:        0
IP id:           0

Et0/0.1        10.132.221.111  Et1/0.1        172.16.10.2     01 00  10    2828 
0000 /0  0                     0800 /0  0     0.0.0.0                28    64.6
Sampler: 1  Class: 1  
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:       28                            Max plen:        28
Min TTL:        59                            Max TTL:         59
ICMP type:       8                            ICMP code:        0
IP id:           0

Et0/0.1        10.231.185.254  Et1/0.1        172.16.10.2     01 00  10    2716 
0000 /0  0                     0C01 /0  0     0.0.0.0                28    64.6
Sampler: 1  Class: 1  
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:       28                            Max plen:        28
Min TTL:        59                            Max TTL:         59
ICMP type:      12                            ICMP code:        1
IP id:           0

Et0/0.1        10.71.200.138   Et1/0.1        172.16.10.2     01 00  10    2548 
0000 /0  0                     0C01 /0  0     0.0.0.0                28    58.0
Sampler: 1  Class: 1  
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:       28                            Max plen:        28
Min TTL:        59                            Max TTL:         59
ICMP type:      12                            ICMP code:        1
IP id:           0

Et0/0.1        10.251.138.218  Et1/0.1        172.16.10.2     01 00  10    2436 
0000 /0  0                     0C01 /0  0     0.0.0.0                28    64.6
Sampler: 1  Class: 1  
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:       28                            Max plen:        28
Min TTL:        59                            Max TTL:         59
ICMP type:      12                            ICMP code:        1
IP id:           0

Et0/0.1        10.10.12.1      Et1/0.1        172.16.10.2     01 00  10    2352 
0000 /0  0                     0C01 /0  0     0.0.0.0                28    57.7
Sampler: 1  Class: 1  
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:       28                            Max plen:        28
Min TTL:        59                            Max TTL:         59
ICMP type:      12                            ICMP code:        1
IP id:           0

6 of 50 top talkers shown. 6 of 7 flows matched.


Ejemplos de Configuración para Detectar y Analizar las Amenazas de la Red con NetFlow

Esta sección proporciona los siguientes ejemplos de configuración:

Configuración de NetFlow Layer 2 and Security Monitoring Exports para Capturar Tráfico de un Ataque FTP Simulado: Ejemplo:

Análisis de un Ataque DoS FTP mediante el Comando show ip cache verbose flow: Ejemplo:

Analice un Ataque DoS FTP Usando NetFlow Dynamic Top Talkers CLI: Ejemplo:

Configuración de NetFlow Layer 2 and Security Monitoring Exports para Capturar Tráfico de un Ataque ICMP Simulado: Ejemplo:

Análisis de un Ataque DoS Ping ICMP mediante el comando show ip cache verbose flow: Ejemplo:

Análisis de un Ataque DoS Ping ICMP Usando NetFlow Dynamic Top Talkers CLI: Ejemplo:

Configuración del Filtrado y el Muestreo de NetFlow: Ejemplo:

Configuración de NetFlow Layer 2 and Security Monitoring Exports para Capturar Tráfico de un Ataque FTP Simulado: Ejemplo:

El siguiente ejemplo muestra cómo utilizar la función NetFlow Layer 2 and Security Monitoring Exports para descubrir si la red está siendo atacada por un host que envía tráfico FTP falso en un intento de desbordar el servidor FTP. Este ataque podría hacer que los usuarios finales vean una degradación en la capacidad del servidor FTP para aceptar nuevas conexiones o para dar servicio a las conexiones existentes.

Este ejemplo utiliza la red mostrada en el cuadro 7. host A está enviando los paquetes FTP falsos al servidor FTP.

Este ejemplo también muestra cómo utilizar los datos de la Capa 2 capturados la función NetFlow Layer 2 and Security Monitoring Exports para conocer dónde se está originando el tráfico y qué trayectoria está tomando la red.

Figura 7 Prueba de Red


La extremidadno pierde de vista las direcciones MAC y los IP Addresses de los dispositivos en su red. Puedes utilizarlos para analizar los ataques y solucionar problemas.



Observeeste ejemplo no incluye ip flow-capture icmp el comando que captura el valor de los campos del tipo y del código ICMP. El uso ip flow-capture icmp del comando se describe en “configurar la capa 2 del Netflow y las exportaciones del monitoreo de la seguridad para capturar el tráfico de un ataque simulado ICMP: Ejemplo.”


R2

!
hostname R2
!
interface Ethernet0/0
 mac-address aaaa.bbbb.cc02
 ip address 172.16.1.2 255.255.255.0
!
interface Ethernet1/0
 mac-address aaaa.bbbb.cc03
 no ip address
!
interface Ethernet1/0.1
 encapsulation dot1Q 5
 ip address 172.16.6.1 255.255.255.0
!
!
router rip
 version 2
 network 172.16.0.0
 no auto-summary
!

R3

!
hostname R3
!
ip flow-capture fragment-offset
ip flow-capture packet-length
ip flow-capture ttl
ip flow-capture vlan-id
ip flow-capture ip-id
ip flow-capture mac-addresses
!
interface Ethernet0/0
 mac-address aaaa.bbbb.cc04
 no ip address
!
interface Ethernet0/0.1
 encapsulation dot1Q 5
 ip address 172.16.6.2 255.255.255.0
 ip accounting output-packets
 ip flow ingress
!
interface Ethernet1/0
 mac-address aaaa.bbbb.cc05
 no ip address
!
interface Ethernet1/0.1
 encapsulation dot1Q 6
 ip address 172.16.7.1 255.255.255.0
 ip accounting output-packets
 ip flow egress
!
router rip
 version 2
 network 172.16.0.0
 no auto-summary
!

R4

!
hostname R4
!
interface Ethernet0/0
 mac-address aaaa.bbbb.cc07
 ip address 172.16.10.1 255.255.255.0
!
interface Ethernet1/0
 mac-address aaaa.bbbb.cc06
 no ip address
!
interface Ethernet1/0.1
 encapsulation dot1Q 6
 ip address 172.16.7.2 255.255.255.0
!
router rip
 version 2
 network 172.16.0.0
 no auto-summary
!

Análisis de un Ataque DoS FTP mediante el Comando show ip cache verbose flow: Ejemplo:

show ip cache verbose flow El comando visualiza los flujos del Netflow. Usted puede utilizar esta muestra del resultado para identificar la trayectoria que el tráfico FTP del host A está tomando mientras que es recibido y transmitido por el R3.


Observepara reducir el espacio requerido para visualizar la salida show ip flow cache verbose flow del comando solamente que se muestran los flujos FTP.



Inclinebuscan los flujos que tienen FTP en ellos y anotan las interfaces, las direcciones MAC, y los VLA N (si procede) para los flujos.


R3# show ip cache verbose flow 
IP packet size distribution (189118 total packets):
   1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .043 .610 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000

    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .000 .173 .000 .173 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 278544 bytes
  25 active, 4071 inactive, 615 added
  263794 ager polls, 0 flow alloc failures
  Active flows timeout in 30 minutes
  Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 25736 bytes
  50 active, 974 inactive, 1648 added, 615 added to flow
  0 alloc failures, 0 force free
  1 chunk, 1 chunk added
  last clearing of statistics never
Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
TCP-FTP             12      0.0       895    40      0.9    1363.8       5.5
TCP-FTPD            12      0.0       895    40      0.9    1363.8       5.6
Total:             590      0.0       317   383     16.1     430.1      12.4

Et0/0.1        192.168.87.200  Et1/0.1        172.16.10.2     06 00  00      63 
0015 /0  0                     0015 /0  0     0.0.0.0                40    94.5
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:       40                            Max plen:        40
Min TTL:        59                            Max TTL:         59
IP id:           0

Et0/0.1        192.168.87.200  Et1/0.1        172.16.10.2     06 00  00      63 
0014 /0  0                     0014 /0  0     0.0.0.0                40    94.5
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:       40                            Max plen:        40
Min TTL:        59                            Max TTL:         59
IP id:           0


Et0/0.1        10.10.10.2      Et1/0.1        172.16.10.2     06 00  00      64 
0015 /0  0                     0015 /0  0     0.0.0.0                40    96.0
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:       40                            Max plen:        40
Min TTL:        59                            Max TTL:         59
IP id:           0

Et0/0.1        10.10.10.2      Et1/0.1        172.16.10.2     06 00  00      64 
0014 /0  0                     0014 /0  0     0.0.0.0                40    96.0
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:       40                            Max plen:        40
Min TTL:        59                            Max TTL:         59
IP id:           0

Et0/0.1        10.234.53.1     Et1/0.1        172.16.10.2     06 00  00      63 
0015 /0  0                     0015 /0  0     0.0.0.0                40    94.5
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:       40                            Max plen:        40
Min TTL:        59                            Max TTL:         59
IP id:           0

Et0/0.1        10.234.53.1     Et1/0.1        172.16.10.2     06 00  00      63 
0014 /0  0                     0014 /0  0     0.0.0.0                40    94.5
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:       40                            Max plen:        40
Min TTL:        59                            Max TTL:         59
IP id:           0

Et0/0.1        172.30.231.193  Et1/0.1        172.16.10.2     06 00  00      63 
0015 /0  0                     0015 /0  0     0.0.0.0                40    94.5
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:       40                            Max plen:        40
Min TTL:        59                            Max TTL:         59
IP id:           0

Et0/0.1        172.30.231.193  Et1/0.1        172.16.10.2     06 00  00      63 
0014 /0  0                     0014 /0  0     0.0.0.0                40    94.5
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:       40                            Max plen:        40
Min TTL:        59                            Max TTL:         59
IP id:           0

Hay 8 flujos FTP mostrados en la salida. Usted puede utilizar la información de la capa 2 en los flujos que es capturada por ip flow-capture el comando de identificar la trayectoria que el tráfico está tomando a través de la red. En este ejemplo, el tráfico se está enviando al R3 en la VLAN 5 por parte del R2. Puede demostrar que el R2 está transmitiendo el tráfico sobre la interfaz 1/0.1 porque la dirección MAC de origen (aaaa.bbb.cc03) pertenece a 1/0.1 en el R2. Puede demostrar que R3 está transmitiendo el tráfico con VLAN 6 en la interfaz 1/0.1 a la interfaz 1/0.1 de R4, ya que la dirección MAC de destino (aaaa.bbbb.cc06) pertenece a la interfaz 1/0.1 do R4.


Observepara más información sobre ip flow-capture el comando, y los campos en la muestra del resultado show ip cache verbose flow del comando, refieren a la referencia de comandos del Cisco IOS NetFlow.


Se puede utilizar esta información para atenuar este ataque. Una manera posible de atenuar este ataque está configurando una lista de acceso IP ampliado que bloquee todo el tráfico FTP de las dirección IP de origen que el host A es spoofing y aplicación de él Ethernet0/0 en el r2.

Analice un Ataque DoS FTP Usando NetFlow Dynamic Top Talkers CLI: Ejemplo:

Usted puede utilizar la característica superior dinámica de los transmisores CLI del Netflow para identificar rápidamente a los transmisores del top FTP en el tráfico de la red que pudo enviar el tráfico. Así se mostrarán las direcciones IP de destino que utiliza el host A cuando envía el tráfico del ataque de DoS.

R3# show ip flow top 50 aggregate source-address sorted-by bytes descending match 
destination-port min 20 max 21

There are 5 top talkers:

IPV4 SRC-ADDR         bytes        pkts       flows
===============  ==========  ==========  ==========
10.231.185.254         5640         141           2
10.132.221.111         3680          92           2
10.10.12.1             3640          91           2
10.251.138.218         3600          90           2
10.71.200.138          1880          47           1


9 of 34 flows matched.


Las dirección IP de origende la nota solamente del tráfico FTP se muestran debido a match destination-port min los 20max 21 criterios. Agregan a las direcciones de origen juntas tan solamente las fuentes más relevantes se muestran.



Observesolamente nueve de los 34 flujos correspondidos con porque el resto de los flujos no es flujos FTP, por lo tanto no cumplen los criterios de concordancia (match destination-port min 20max 21).



Inclinea los transmisores superiores se visualizan en el orden descendente del campo agregado por abandono.



Extremidadusted puede ingresar los números del puerto en sus valores decimales como se muestra, o en sus equivalentes hexadecimales de 0x14 y de 0x15.


Después de que usted haya identificado el tráfico de los transmisores del top FTP usted necesita identificar las dirección IP de origen del tráfico IP que se está enviando al host que usted cree está bajo ataque.

R3# show ip flow top 50 aggregate source-address match destination-prefix 172.16.10.2/32

There are 6 top talkers:

IPV4 SRC-ADDR         bytes        pkts       flows
===============  ==========  ==========  ==========
10.251.138.218         6642          18           4
10.231.185.254         5068          28           4
10.132.221.111        14818          25           4
10.106.1.1            12324          12           2
10.71.200.138         12564          18           3
10.10.12.1              560          14           2


19 of 33 flows matched.


Extremidadusted puede especificar el host que usted cree está bajo ataque usando un valor del prefijo de 32 con match destination-prefix el comando.



Observesolamente 19 de los 33 flujos correspondidos con porque el resto de los flujos no contiene el tráfico que es destinado para el host con la dirección IP de 172.16.10.2, por lo tanto no cumplen los criterios de concordancia (match destination-prefix 172.16.10.2/32).


El último paso es hacer una remisión las dirección IP de origen de cualquier host que esté enviando cualquier tráfico IP al host bajo ataque con la lista de dirección IP de origen de los transmisores del top FTP. Se requiere esto porque show ip flow top el comando no soporta los criterios de concordancia múltiples. Por lo tanto usted no puede limitar a los transmisores superiores al tráfico FTP que es enviado a un host específico con un comando único show ip flow top (match destination-port min 20max 21 <and> match destination-prefix 172.16.10.2/32).

El host con la dirección IP de 10.106.1.1 no está implicado al parecer en este ataque DOS porque no es en la muestra del resultado show ip flow top de los 50ggregate source-address sorted-by bytes descending match destination-port min un comandomax 20 21. Esto significa que no está enviando el tráfico FTP al host que está bajo ataque.

Por lo tanto IP del host los destinatarios implicados en este ataque DOS FTP son probables ser:

10.231.185.254

10.132.221.111

10.10.12.1

10.251.138.218

10.71.200.138

Ahora que usted conoce a las direcciones de origen del tráfico FTP usted puede configurar una lista de acceso ampliada que bloquee el tráfico FTP de estos direccionamiento, y lo aplica a la interfaz que está la más cercana a la punta que el tráfico está ingresando su red.


Observea menos que usted reconozca que algunas de las dirección IP de origen no son IP Address legítimos para su red que puede ser que no sea posible identificar el tráfico legítimo FTP del tráfico del ataque DOS FTP.


Configuración de NetFlow Layer 2 and Security Monitoring Exports para Capturar Tráfico de un Ataque ICMP Simulado: Ejemplo:

El ejemplo siguiente muestra cómo utilizar la función NetFlow Layer 2 and Security Monitoring Exports para saber que la red está siendo atacada por tráfico ICMP. Utiliza la red mostrada en el cuadro 8. host A está enviando los paquetes del ping de ICMP al servidor FTP.

Cuadro 8 red de prueba


La extremidadno pierde de vista las direcciones MAC y los IP Addresses de los dispositivos en su red. Puedes utilizarlos para analizar los ataques y solucionar problemas.


R2

!
hostname R2
!
interface Ethernet0/0
 mac-address aaaa.bbbb.cc02
 ip address 172.16.1.2 255.255.255.0
!
interface Ethernet1/0
 mac-address aaaa.bbbb.cc03
 no ip address
!
interface Ethernet1/0.1
 encapsulation dot1Q 5
 ip address 172.16.6.1 255.255.255.0
!
!
router rip
 version 2
 network 172.16.0.0
 no auto-summary
!

R3

!
hostname R3
!
ip flow-capture fragment-offset
ip flow-capture packet-length
ip flow-capture ttl
ip flow-capture vlan-id
ip flow-capture icmp
ip flow-capture ip-id
ip flow-capture mac-addresses
!
interface Ethernet0/0
 mac-address aaaa.bbbb.cc04
 no ip address
!
interface Ethernet0/0.1
 encapsulation dot1Q 5
 ip address 172.16.6.2 255.255.255.0
 ip accounting output-packets
 ip flow ingress
!
interface Ethernet1/0
 mac-address aaaa.bbbb.cc05
 no ip address
!
interface Ethernet1/0.1
 encapsulation dot1Q 6
 ip address 172.16.7.1 255.255.255.0
 ip accounting output-packets
 ip flow egress
!
router rip
 version 2
 network 172.16.0.0
 no auto-summary
!

R4

!
hostname R4
!
interface Ethernet0/0
 mac-address aaaa.bbbb.cc07
 ip address 172.16.10.1 255.255.255.0
!
interface Ethernet1/0
 mac-address aaaa.bbbb.cc06
 no ip address
!
interface Ethernet1/0.1
 encapsulation dot1Q 6
 ip address 172.16.7.2 255.255.255.0
!
router rip
 version 2
 network 172.16.0.0
 no auto-summary
!

Análisis de un Ataque DoS Ping ICMP mediante el comando show ip cache verbose flow: Ejemplo:

show ip cache verbose flow El comando visualiza los flujos del Netflow. Usted puede utilizar esta muestra del resultado para identificar la trayectoria que el tráfico ICMP del host A está tomando mientras que es recibido y transmitido por el R3.


Observepara reducir el espacio requerido para visualizar la salida show ip flow cache verbose flow del comando solamente que se muestran los flujos ICMP.



Inclinebuscan los flujos que tienen ICMP en ellos y anotan las interfaces, las direcciones MAC, y los VLA N (si procede) para los flujos.


R3# show ip cache verbose flow
IP packet size distribution (122369 total packets):
   1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .065 .665 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000

    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .000 .134 .000 .134 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 278544 bytes
  24 active, 4072 inactive, 404 added
  176657 ager polls, 0 flow alloc failures
  Active flows timeout in 30 minutes
  Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 25736 bytes
  48 active, 976 inactive, 1088 added, 404 added to flow
  0 alloc failures, 0 force free
  1 chunk, 1 chunk added
  last clearing of statistics never
Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
ICMP                27      0.0      1131   763      3.9    1557.4       3.6
Total:             380      0.0       267   257     13.0     382.8      12.6

SrcIf          SrcIPaddress    DstIf          DstIPaddress    Pr TOS Flgs  Pkts
Port Msk AS                    Port Msk AS    NextHop              B/Pk  Active
Et0/0.1        10.106.1.1      Et1/0.1        172.16.10.2     01 00  10     864 
0000 /0  0                     0800 /0  0     0.0.0.0              1500  1089.9
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:      1500                            Max plen:       1500
Min TTL:        59                            Max TTL:         59
ICMP type:       8                            ICMP code:        0
IP id:           0

Et0/0.1        10.71.200.138   Et1/0.1        172.16.10.2     01 00  00     864 
0000 /0  0                     0000 /0  0     0.0.0.0               554  1090.0
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:      554                            Max plen:       554
Min TTL:        59                            Max TTL:         59
ICMP type:       0                            ICMP code:        0
IP id:           0                            FO:            185

Et0/0.1        10.231.185.254  Et1/0.1        172.16.10.2     01 00  00     864 
0000 /0  0                     0000 /0  0     0.0.0.0               554  1090.0
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:      554                            Max plen:       554
Min TTL:        59                            Max TTL:         59
ICMP type:       0                            ICMP code:        0
IP id:           0                            FO:            185

Et0/0.1        10.10.12.1      Et1/0.1        172.16.10.200   01 00  00     864 
0000 /0  0                     0000 /0  0     0.0.0.0               554  1090.0
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:      554                            Max plen:       554
Min TTL:        59                            Max TTL:         59
ICMP type:       0                            ICMP code:        0
IP id:           0                            FO:            185

Et0/0.1        10.132.221.111  Et1/0.1        172.16.10.2     01 00  10     864 
0000 /0  0                     0800 /0  0     0.0.0.0              1500  1089.9
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:      1500                            Max plen:       1500
Min TTL:        59                            Max TTL:         59
ICMP type:       8                            ICMP code:        0
IP id:           0

Et0/0.1        10.251.138.218  Et1/0.1        172.16.10.2     01 00  00     864 
0000 /0  0                     0000 /0  0     0.0.0.0               554  1089.9
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:      554                            Max plen:       554
Min TTL:        59                            Max TTL:         59
ICMP type:       0                            ICMP code:        0
IP id:           0                            FO:            185

Et0/0.1        10.10.12.1      Et1/0.1        172.16.10.200   01 00  10     864 
0000 /0  0                     0C01 /0  0     0.0.0.0              1500  1090.0
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:      1500                            Max plen:       1500
Min TTL:        59                            Max TTL:         59
ICMP type:      12                            ICMP code:        1
IP id:           0

Et0/0.1        10.106.1.1      Et1/0.1        172.16.10.2     01 00  00     864 
0000 /0  0                     0000 /0  0     0.0.0.0               554  1089.9
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:      554                            Max plen:       554
Min TTL:        59                            Max TTL:         59
ICMP type:       0                            ICMP code:        0
IP id:           0                            FO:            185

Et0/0.1        10.251.138.218  Et1/0.1        172.16.10.2     01 00  10     864 
0000 /0  0                     0C01 /0  0     0.0.0.0              1500  1089.9
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:      1500                            Max plen:       1500
Min TTL:        59                            Max TTL:         59
ICMP type:      12                            ICMP code:        1
IP id:           0

Et0/0.1        10.71.200.138   Et1/0.1        172.16.10.2     01 00  10     864 
0000 /0  0                     0C01 /0  0     0.0.0.0              1500  1090.0
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:      1500                            Max plen:       1500
Min TTL:        59                            Max TTL:         59
ICMP type:      12                            ICMP code:        1
IP id:           0

Et0/0.1        10.132.221.111  Et1/0.1        172.16.10.2     01 00  00     864 
0000 /0  0                     0000 /0  0     0.0.0.0               554  1089.9
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:      554                            Max plen:       554
Min TTL:        59                            Max TTL:         59
ICMP type:       0                            ICMP code:        0
IP id:           0                            FO:            185

Et0/0.1        10.231.185.254  Et1/0.1        172.16.10.2     01 00  10     864 
0000 /0  0                     0C01 /0  0     0.0.0.0              1500  1090.0
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:      1500                            Max plen:       1500
Min TTL:        59                            Max TTL:         59
ICMP type:      12                            ICMP code:        1
IP id:           0

Hay 12 flujos ICMP mostrados en la salida. Usted puede utilizar la información de la capa 2 en los flujos que es capturada por ip flow-capture el comando de identificar la trayectoria que el tráfico está tomando a través de la red. En este ejemplo, el tráfico se está enviando al R3 en la VLAN 5 por parte del R2. Puede demostrar que el R2 está transmitiendo el tráfico sobre la interfaz 1/0.1 porque la dirección MAC de origen (aaaa.bbb.cc03) pertenece a 1/0.1 en el R2. Puede demostrar que R3 está transmitiendo el tráfico con VLAN 6 en la interfaz 1/0.1 a la interfaz 1/0.1 de R4, ya que la dirección MAC de destino (aaaa.bbbb.cc06) pertenece a la interfaz 1/0.1 do R4.


Observepara más información sobre ip flow-capture el comando, y los campos en la muestra del resultado show ip cache verbose flow del comando, refieren a la referencia de comandos del Cisco IOS NetFlow.


Se puede utilizar esta información para atenuar este ataque. Una manera posible de atenuar este ataque está configurando una lista de acceso IP ampliado que bloquee todo el tráfico ICMP de las dirección IP de origen que el host A es spoofing y aplicación de él Ethernet0/0 en el r2.

Análisis de un Ataque DoS Ping ICMP Usando NetFlow Dynamic Top Talkers CLI: Ejemplo:

Usted puede utilizar la característica superior dinámica de los transmisores CLI del Netflow para identificar rápidamente a los transmisores del top ICMP en el tráfico de la red que pudo enviar el tráfico. Así se mostrarán las direcciones IP de destino que utiliza el host A cuando envía el tráfico del ataque de DoS.

R3# show ip flow top 50 aggregate icmp

There are 3 top talkers:

ICMP TYPE  ICMP CODE       bytes        pkts       flows
=========  =========  ==========  ==========  ==========
       12          1     2466000        1644           4
        8          0     1233000         822           2
        0          0     1366164        2466           6


12 of 25 flows matched.


Observesolamente 12 de los 25 flujos correspondidos con porque el resto de los flujos no es flujos ICMP.



Inclineel top que visualizan a los transmisores en el orden descendente del campo agregado por abandono.


Después de que usted haya identificado los tipos y los valores del código ICMP en el tráfico de la red, usted necesita determinar las dirección IP de origen para el tráfico ICMP que siendo enviado al servidor FTP.

R3# show ip flow top 50 aggregate source-address match icmp type 12 code 1

There are 4 top talkers:

IPV4 SRC-ADDR         bytes        pkts       flows
===============  ==========  ==========  ==========
10.251.138.218       867000         578           1
10.231.185.254       865500         577           1
10.71.200.138        865500         577           1
10.10.12.1           867000         578           1


4 of 24 flows matched.


Las dirección IP de origende la nota solamente del tráfico ICMP se muestran debido a match icmp type los 12code criterios 1. No se realiza ninguna agregación en las direcciones IP de origen porque solamente hay un flujo para cada dirección IP.



Observesolamente cuatro de los 24 flujos correspondidos con porque el resto de los flujos no cumplió los criterios de concordancia (match icmp type 12code 1).


R3# show ip flow top 50 aggregate source-address match icmp type 8 code 0 

There are 2 top talkers:

IPV4 SRC-ADDR         bytes        pkts       flows
===============  ==========  ==========  ==========
10.132.221.111      1095000         730           1
10.106.1.1          1095000         730           1


2 of 24 flows matched.


Las dirección IP de origende la nota solamente del tráfico ICMP se muestran debido a match icmp type los 8code criterios 0. No se realiza ninguna agregación en las direcciones IP de origen porque solamente hay un flujo para cada dirección IP.



Observesolamente dos de los 24 flujos correspondidos con porque el resto de los flujos no cumplió los criterios de concordancia (match icmp type 8code 0).


R3# show ip flow top 50 aggregate source-address match icmp type 0 code 0

There are 6 top talkers:

IPV4 SRC-ADDR         bytes        pkts       flows
===============  ==========  ==========  ==========
10.251.138.218       416608         752           1
10.231.185.254       416608         752           1
10.132.221.111       416608         752           1
10.106.1.1           416608         752           1
10.71.200.138        416608         752           1
10.10.12.1           416608         752           1


6 of 24 flows matched.


Las dirección IP de origende la nota solamente del tráfico ICMP se muestran debido a match icmp type los criterioscode 0 0. No se realiza ninguna agregación en las direcciones IP de origen porque solamente hay un flujo para cada dirección IP.



Observesolamente seis de los 24 flujos correspondidos con porque el resto de los flujos no cumplió los criterios de concordancia (match icmp type 0code 0).


El siguiente paso es crear una lista de las dirección IP de origen que el host A está utilizando.

10.251.138.218

10.231.185.254

10.71.200.138

10.10.12.1

10.132.221.111

10.106.1.1.

Ahora que usted sabe las direcciones de origen del DOS ICMP atacan el tráfico, usted puede atenuar este ataque configurando una lista de acceso ampliada que bloquee el tráfico ICMP de estos direccionamiento y aplicación de él a la interfaz que está la más cercana a la punta que el tráfico está ingresando su red.

Configuración del Filtrado y el Muestreo de NetFlow: Ejemplo:

Este ejemplo de configuración contiene los comandos configuration requeridos utilizar el Netflow que filtra y que muestrea en el router del Netflow.

!
hostname Router
!
ip cef
!
flow-sampler-map icmp-dos-fs-map
 mode random one-out-of 2
!
!
class-map match-any icmp-dos-class-map
 match access-group 101
!
!
policy-map icmp-dos-policy-map
  class icmp-dos-class-map
   netflow-sampler icmp-dos-fs-map
!
interface Ethernet0/0
 mac-address aaaa.bbbb.cc04
 no ip address
!
interface Ethernet0/0.1
 encapsulation dot1Q 5
 ip address 172.16.6.2 255.255.255.0
 service-policy input icmp-dos-policy-map
!
interface Ethernet1/0.1
 encapsulation dot1Q 6
 ip address 172.16.7.1 255.255.255.0
 ip flow egress
!
ip flow-capture fragment-offset
ip flow-capture packet-length
ip flow-capture ttl
ip flow-capture vlan-id
ip flow-capture icmp
ip flow-capture ip-id
ip flow-capture mac-addresses
!
ip flow-top-talkers
 top 5
 sort-by bytes
 match class-map icmp-dos-class-map
!
access-list 101 permit icmp any host 172.16.10.2
!
end

Adonde ir después

Vea que “se relacionó la sección de los documentos” para los links con la información de la configuración sobre las características y los servicios adicionales del Netflow.

Referencias adicionales

Las secciones siguientes proporcionan referencias relacionadas con NetFlow Layer 2 and Security Monitoring Exports.

Documentos Relacionados

Tema relacionado
Título del documento

Descripción General de NetFlow de Cisco IOS

“Descripción General de NetFlow de Cisco IOS”

Lista de las características documentadas en la guía de configuración del título del libro

"Mapa de Ruta de las Funciones de NetFlow de Cisco IOS"

La información esencial sobre y las tareas requeridas para configurar NetFlow y la NetFlow Data Export

"Introducción a la Configuración de NetFlow y NetFlow Data Export"

Tareas de configuración de NetFlow para capturar y exportar datos de tráfico de red

"Configuración de NetFlow y NetFlow Data Export"

Tareas para configurar la Configuración de NetFlow que Reconoce MPLS

Configuración de NetFlow que Reconoce MPLS

Tareas para configurar la contabilización de NetFlow de la salida MPLS

Configuración de MPLS Egress NetFlow Accounting and Analysis

Tareas para configurar filtros de entrada de NetFlow

"Uso del Filtrado o el Muestreo de NetFlow para Seleccionar el Tráfico de la Red del que se Debe Hacer un Seguimiento"

Tareas para configurar la función Random Sampled NetFlow

"Uso del Filtrado o el Muestreo de NetFlow para Seleccionar el Tráfico de la Red del que se Debe Hacer un Seguimiento"

Tareas para configurar las memorias caché de NetFlow Aggregation

"Configuración de las Memorias Caché de Agregación de NetFlow"

Tareas para configurar el soporte de siguiente salto BGP de NetFlow

"Configuración deNetFlow BGP Next Hop Support para Contabilización y Análisis"

Tareas para configurar el soporte de multicast en NetFlow

"Configuración de la Contabilización Multicast de NetFlow"

Tareas para configurar NetFlow Reliable Export con SCTP

NetFlow Reliable Export con SCTP

Tareas para configurar la capa 2 de NetFlow y las Exportaciones de Monitoreo de Seguridad

"Capa 2 de NetFlow y Exportaciones de Monitoreo de Seguridad"

Tareas para configurar NetFlow MIB SNMP

"Configuración de SNMP y Uso de MIB de NetFlow para Monitorear los Datos de NetFlow"

Tareas para configurar la función NetFlow MIB and Top Talkers

"Configuración de NetFlow Top Talkers Utilizando Comandos CLI o SNMP de Cisco IOS"

Información para instalar, iniciar y configurar el CNS NetFlow Collection Engine

"Documentación de Cisco CNS NetFlow Collection Engine"


Estándares

Estándares
Título

No hay estándares nuevos o modificados asociados a esta función


MIB

MIB
Link del MIB

No hay MIBs nuevas ni modificadas asociadas con esta función.

Para localizar y descargar MIB de plataformas, versiones de Cisco IOS y conjuntos de funciones seleccionados, utilice Cisco MIB Locator, que se encuentra en la siguiente URL:

http://www.cisco.com/cisco/web/LA/support/index.html


RFC

RFC
Título

No hay RFCs nuevos o modificados asociados a esta función.


Asistencia Técnica

Descripción
Link

El sitio Web del Soporte técnico de Cisco dispone de miles de páginas de contenido técnico que se puede buscar, incluidos links a productos, tecnologías, soluciones, consejos técnicos y herramientas. Los usuarios registrados de cisco.com pueden iniciar sesión desde esta página para acceder a otros contenidos.

http://www.cisco.com/cisco/web/LA/support/index.html


Información de la característica para detectar y analizar las amenazas de la red con el Netflow

El cuadro 11 enumera las características en este módulo y proporciona los links a la información de la configuración específica. Solamente las características que fueron introducidas o modificadas en el Cisco IOS Releases12.2(1) o 12.0(3)S o una versión posterior aparecen en la tabla.

Puede que no estén disponibles todos los comandos en su versión de software de Cisco IOS. Para obtener información detallada sobre cuándo se insertó el soporte para un comando específico, vea la documentación de referencia de comandos.

Para la información sobre una característica en esta tecnología que no se documente aquí, vea el mapa de ruta de las características del Cisco IOS NetFlow.

Las imágenes de Cisco IOS Software son específicas de una Cisco IOS Software Release, un conjunto de funciones y una plataforma. Utilice Cisco Feature Navigator para buscar información sobre el soporte de plataformas e imágenes de Cisco IOS Software. Acceda el Cisco Feature Navigator en http://www.cisco.com/cisco/web/LA/support/index.html. Debe tener una cuenta en Cisco.com. Si no dispone de una cuenta o ha olvidado el nombre de usuario o la contraseña, haga clic en Cancel en el cuadro de diálogo de login y siga las instrucciones que aparecen.


Observelas listas del cuadro 11 solamente la versión de Cisco IOS Software que introdujo el soporte para una característica dada en un tren de versión del Cisco IOS Software dado. A menos que se indique lo contrario, las versiones posteriores de dicha serie de versiones de software de Cisco IOS también soportan esa función.


Información de la característica del cuadro 11 para la capa 2 del Netflow y las exportaciones del monitoreo de la seguridad 

Nombre de la función
Versiones
Información de la Configuración de la Función

Capa 2 de NetFlow y Exportaciones de Monitoreo de Seguridad

12.3(14)T

La función NetFlow Layer 2 and Security Monitoring Exports permite la captura de valores de campos de Capa 3 y Capa 2 del tráfico IP para la contabilización y el análisis de seguridad.

Las secciones siguientes proporcionan información acerca de esta función:

NetFlow Layer 2 and Security Monitoring

Configuración de la Capa 2 de NetFlow y las Exportaciones de Monitoreo de Seguridad

Verificación de NetFlow Layer 2 and Security Monitoring Exports

Los siguientes comandos fueron modificados por esta función: ip flow-capture, ip flow-export y show ip cache verbose flow.

Soporte para capturar el valor del campo del desplazamiento del fragmento de las encabezados IP agregadas a la capa 2 del Netflow y a las exportaciones1 del monitoreo de la seguridad

12.4(2)T

fragment-offset La palabra clave para ip flow-capture los permisos del comando que capturan el valor del campo de desplazamiento del fragmento IP del primer IP datagram hecho fragmentos en un flujo.

NetFlow Top Talkers

12.3(11)T,

12.2(25)S

Este documento se refiere a la característica superior de los transmisores del Netflow MIB y de la documentación sobre característica superior de los transmisores.

Refiera por favor a configurar a los transmisores superiores del Netflow que usan los comandos o los comandos SNMP del Cisco IOS CLI para toda la información sobre usar esta característica.

Remate las funciones del Netflow de las aplicaciones de los transmisores para obtener la información con respecto los patrones de tráfico más pesados y a las aplicaciones más-usadas en la red.

Las secciones siguientes proporcionan información acerca de esta función:

Configuración de NetFlow Top Talkers para Monitorear las Amenazas de la Red

Los siguientes comandos fueron introducidos por esta función: cache-timeout ip flow-top-talkers match show ip flow top-talkers sort-by, y top.

NetFlow Dynamic Top Talkers CLI

12.4(4)T

Los transmisores superiores dinámicos CLI del Netflow no le prohiben al SE una descripción de las características de tráfico en su router agregando los flujos basados en los campos tales como dirección IP de origen, prefijo de destino, y así sucesivamente.

Las secciones siguientes proporcionan información acerca de esta función:

Uso de NetFlow Dynamic Top Talkers CLI para Mostrar la Distribución del Protocolo

Uso de NetFlow Dynamic Top Talkers CLI para Visualizar los Hablantes Principales de la Dirección IP de Origen que Envían Tráfico ICMP

Uso de NetFlow Dynamic Top Talkers CLI para Visualizar los Hablantes Principales de la Dirección IP de Destino que Reciben Tráfico ICMP

Monitoreo y Análisis de los Flujos de NetFlow Top Talkers

Analice un Ataque DoS FTP Usando NetFlow Dynamic Top Talkers CLI: Ejemplo:

Análisis de un Ataque DoS Ping ICMP Usando NetFlow Dynamic Top Talkers CLI: Ejemplo:

Filtros de Entrada de NetFlow

12.3(4)T, 12.2(25)S

Este documento se refiere a la característica de los filtros de entrada del Netflow del Netflow que filtra y que muestrea la documentación sobre característica.

Refiérase con el Netflow que filtra o que muestrea para seleccionar el tráfico de la red para seguir para toda la información sobre usar esta característica.

Las secciones siguientes proporcionan información acerca de esta función:

Configuración del Filtrado y el Muestreo de NetFlow

Configuración del Filtrado y el Muestreo de NetFlow: Ejemplo:

Random Sampled NetFlow

12.3(4)T, 12.2(18)S, 12.0(26)S

Este documento se refiere a la característica al azar del Sampled NetFlow del Netflow que filtra y que muestrea la documentación sobre característica.

Refiérase con el Netflow que filtra o que muestrea para seleccionar el tráfico de la red para seguir para toda la información sobre usar esta característica.

Las secciones siguientes proporcionan información acerca de esta función:

Configuración del Filtrado y el Muestreo de NetFlow

1 esto es una mejora de menor importancia. Las mejoras de menor importancia no se suelen enumerar en Feature Navigator.


Glosario

flowset de los datos — Una obtención de datos registra que se agrupa en un paquete de la exportación.

paquete de exportación: un tipo de paquete creado por un dispositivo (por ejemplo, un router) con los servicios de NetFlow habilitados. El paquete se dirige a otro dispositivo (por ejemplo, NetFlow Collection Engine). El paquete contiene estadísticas de NetFlow. El otro dispositivo procesa el paquete (analiza, agrega y almacena la información de los flujos de IP).

flujo: conjunto de paquetes con los mismos ajustes de dirección IP de origen, dirección IP de destino, protocolo, puertos de origen y destino y tipo de servicio y la misma interfaz en la que se monitorea el flujo. Los flujos de entrada se asocian a la interfaz de entrada, y los flujos de salida se asocian a la interfaz de salida.

conjunto de flujo: colección de registros de flujo que siguen al encabezado de paquete en un paquete de exportación. Un conjunto de flujo contiene información que debe analizar e interpretar NetFlow Collection Engine. Existen dos tipos de conjuntos de flujo: flowsets de plantilla y flowsets de datos. Un paquete de exportación contiene uno o más conjuntos de flujos y tanto los conjuntos de flujos de datos y de plantillas se pueden combinar en el mismo paquete de exportación.

NetFlow: Función de contabilización de Cisco IOS que mantiene la información por flujo.

NetFlow Aggregation: función de NetFlow que permite resumir los datos de exportación de NetFlow en un router IOS antes de que los datos se exporten a un sistema de recolección de datos de NetFlow como NetFlow Collection Engine. Esta función disminuye los requisitos de ancho de banda de los datos de exportación de NetFlow y reduce los requisitos de plataforma para los dispositivos de recopilación de datos de NetFlow.

NetFlow Collection Engine (antes NetFlow FlowCollector): Aplicación de Cisco que se utiliza con NetFlow en Cisco Routers y Catalyst Series Switches. NetFlow Collection Engine recopila los paquetes del router que ejecuta NetFlow y los decodifica, agrega y almacena. Puede generar informes de diversas agregaciones que se pueden configurar en NetFlow Collection Engine.

Netflow v9: versión 9 del formato de exportación de NetFlow. Un medio flexible y extensible para llevar los registros de NetFlow de un nodo de red a un recolector. La versión 9 de NetFlow tiene tipos de registro definibles y es autodescriptiva para una configuración más sencilla de NetFlow Collection Engine.

plantilla — Describe la disposición de un flowset de los datos.

flowsets de plantilla: una colección de registros de plantilla agrupados en un paquete de exportación.