Re: [inet-admins] 66.90.101.42, netflow - help request

[dn3d <dn3d@xxxxxxxxxxx>]

Здравствуйте, Андрей

Вы писали 18 мая 2005 г., 12:11:00:

> Здравствуйте!


> Коллеги, просьба по возможности помочь в расследовании инцидента.
> Требуется выборка из данных netflow с запросами к/от хоста

все зависит от того как вы снимаете netflow на роутере
и от софта который который принимает данные

если снимаете через flow-tools,  пример выборки:
flow-cat ft-v05.2005-05-18* | flow-filter -f evilhacker.acl -D
evilhacker | flow-print

где evilhacker.acl :

ip access-list standard evilhacker permit host 66.90.101.42

если снимаете netflow только с интерфейса который смотрит смотрит в inet,
получите только входящий трафик

-- 
 Matveev Dmitry                          mailto:dn3d@xxxxxxxxxxx


=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@xxxxxxxxxxxx if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html