URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 90304
[ Назад ]

Исходное сообщение
"Как pmacct аггрегирует трафик?"
Отправлено Lockywolf , 15-Ноя-10 14:36

По совету некого специалиста из темы, которую сейчас не найду, поставил pmacct(nfacctd)+bwstat чтобы мониторить трафик через netflow.
Конфиг содержит такие строки:
aggregate[in]: dst_host
aggregate[out]: src_host
aggregate_filter[in]: dst net 192.168.88.0/16
aggregate_filter[out]: src net 192.168.88.0/16
plugins: mysql[in], mysql[out]

Казалось бы, все правильно.
Тем не менее, в базе есть такие строки:
| 0:0:0:0:0:0 | 0:0:0:0:0:0 | 0.0.0.0         | 109.107.91.158  |
0 |        0 | ip       |       1 |     309 | 2010-11-10 16:50:00 |
2010-11-10 16:59:02 |
| 0:0:0:0:0:0 | 0:0:0:0:0:0 | 0.0.0.0         | 71.228.40.130   |
0 |        0 | ip       |       1 |     305 | 2010-11-10 16:50:00 |
2010-11-10 16:59:02 |
| 0:0:0:0:0:0 | 0:0:0:0:0:0 | 0.0.0.0         | 94.24.134.127   |
0 |        0 | ip       |       1 |     305 | 2010-11-10 16:50:00 |
2010-11-10 16:59:02 |
| 0:0:0:0:0:0 | 0:0:0:0:0:0 | 0.0.0.0         | 188.112.79.97   |
0 |        0 | ip       |       1 |     305 | 2010-11-10 16:50:00 |
2010-11-10 16:59:02 |
И база растет на 11 мегабайт в день, что чудовищно много.
Вопрос 1) Откуда в базе строки, ни начало, ни конец которых не выглядят как 192.168.88.x ?
Вопрос 2) Откуда берется такая куча непонятных пакетов размером 305 байт и адресом 0.0.0.0? Роутер - Mikrotik routerboard.

Содержание

Как pmacct аггрегирует трафик?,roma, 19:15 , 15-Ноя-10
Как pmacct аггрегирует трафик?,artemrts, 20:57 , 15-Ноя-10

Сообщения в этом обсуждении

"Как pmacct аггрегирует трафик?"
Отправлено roma , 15-Ноя-10 19:15

>[оверквотинг удален]
>  0 |        0 |
> ip       |
>    1 |     305 |
> 2010-11-10 16:50:00 |
> 2010-11-10 16:59:02 |
> И база растет на 11 мегабайт в день, что чудовищно много.
> Вопрос 1) Откуда в базе строки, ни начало, ни конец которых не
> выглядят как 192.168.88.x ?
> Вопрос 2) Откуда берется такая куча непонятных пакетов размером 305 байт и
> адресом 0.0.0.0? Роутер - Mikrotik routerboard.
2. Cisco-like рассылка discovery-пакетов. Выключить - ip neighbors discovery

"Как pmacct аггрегирует трафик?"
Отправлено artemrts , 15-Ноя-10 20:57

>[оверквотинг удален]
>  0 |        0 |
> ip       |
>    1 |     305 |
> 2010-11-10 16:50:00 |
> 2010-11-10 16:59:02 |
> И база растет на 11 мегабайт в день, что чудовищно много.
> Вопрос 1) Откуда в базе строки, ни начало, ни конец которых не
> выглядят как 192.168.88.x ?
> Вопрос 2) Откуда берется такая куча непонятных пакетов размером 305 байт и
> адресом 0.0.0.0? Роутер - Mikrotik routerboard.
  Походу такую связку рекламирую я :-). Отлично себя зарекомендовала.
Если не помогло, что посоветовал  предыдущий товарищ, тогда попробуйте исключить из агрегации 0.0.0.0
Что то типа этого:
aggregate_filter[out]: src net 192.168.88.0/16 and not src host 0.0.0.0
Кстати, если у вас подсчет на роутере, то не забудьте исключить внутренний интерфейс роутера в случае, если он обслуживает какие-то сервисы для лок.сети (днс, внутр. вэб и т.д.)