琢磨了一个多星期,终于把netflow做出来了。
关键在于理解Cisco netflow v9白皮书《Cisco IOS NetFlow Version 9 Flow-Record Format》。
我想要的就是得到源IP、目标IP、源端口、目标端口以及使用的协议,
这是程序运行的结果:
Router IP=192.168.0.254
收到netflow包,包长=1420
version=9
count=29
unixSecs=2007-11-23 03:15:19
packageSequence=9329
源IP=59.41.62.50
目标IP=192.168.3.90
协议=6
源Port=7709
目标Port=2620
源IP=58.251.60.66
目标IP=58.253.18.208
协议=6
源Port=12000
目标Port=1469
源IP=192.168.2.20
目标IP=58.61.32.11
协议=17
源Port=4000
目标Port=8000
源IP=202.106.46.151
目标IP=58.253.18.208
协议=17
源Port=53
目标Port=1034
源IP=192.168.2.20
目标IP=219.133.60.243
协议=17
源Port=4000
目标Port=8000
源IP=219.133.60.153
目标IP=58.253.18.208
协议=17
源Port=8000
目标Port=1035
源IP=192.168.3.90
目标IP=61.152.112.125
协议=6
源Port=2633
目标Port=80
-------------------------/192.168.0.254
收到netflow包,包长=1424
version=9
count=29
unixSecs=2007-11-23 03:16:12
packageSequence=9354
源IP=58.251.60.182
目标IP=192.168.2.154
协议=6
源Port=80
目标Port=2244
源IP=219.133.49.75
目标IP=58.253.18.208
协议=17
源Port=8000
目标Port=2851
源IP=192.168.2.156
目标IP=219.133.49.75
协议=6
源Port=2851
目标Port=80
源IP=4.2.2.4
目标IP=58.253.18.208
协议=17
源Port=53
目标Port=2166
源IP=192.168.2.156
目标IP=222.141.220.165
协议=6
源Port=2981
目标Port=80
下一步就是把结果入库,然后分析,得出用户想要的东西。