[Comm] сгенерировать netflow

Вс Дек 4 16:54:27 MSK 2011

----- Исходное сообщение -----
> On Sunday, December 04, 2011, Anton Gorlov wrote:
> 
> > > Flows: 179520, Packets: 1784377, Bytes: 1251651233, Sequence
> > > Errors: 1, Bad Packets: 0
> 
> > Это если не ошибаюсь - означает что нарушен порядок пакетов
> 
> Да. И не факт, что пропущенные долетели. Скорее, даже, факт: иначе
> бы было 3 ошибки: пропущенный фрагмент, плюс сдвиги в начале и конце
> фрагмента при его "долёте".
> 
> > ftpdu_seq_check(): src_ip=zz.xx.yy.36 dst_ip=zz.xx.yy.25
> > d_version=5
> > expecting=44192099 received=44192129 lost=30
> > 
> > но при этом на тестовых проверках трафик не потерялся.
> 
> У меня, поже, теряется: есть вторая считалка, которая чераз libpcap
> считает
> то же самое. Надо попробовать в nfcapd отладочный код
> раскомментировать,
> который количество пропущенного выводит...

Вот засада. Я все посматривал в сторону ядерной генерации Netflow, а тут такие косяки. Сейчас налажен заворот нужных пакетов в -j QUEUE и потом ipcad из интерфейса ipq. Потерь и ошибок Netflow не регистрируется.