PackterAgent のコンパイル
標準的な UNIX 環境に加え、pcap, openssl, glib2 の開発環境が必要です。IPv6 対応は ./configure --enable-ipv6 で行ってください。
% tar zxvf /anywhere/PackterAgent-2.5.tar.gz % cd PackterAgent-2.5 % ./configure % make
PackterAgent の起動
Packter Agent はトラフィックを画面に描画するメッセージを送信するツールです。
% pt_agent
-v [ PACKTER VIEWER が動作するホストの IP アドレスを指定します ] (must)
-p [ PACKTER VIEWER が動作するホストのポート番号を指定します(optional : デフォルト11300) ]
-i [ pcap でモニタリングするインタフェースを指定します (optional) ]
-r [ pcap パケットダンプファイルを読み取ります (optional) ]
-u [ 他のユーザとして起動します (optional) ]
-d ( デバッグ情報を表示します ) ]
-s ( サウンドをならすよう指示します (optional) ]
-f [ パケットIDの基準値を変更します (optional : デフォルト 0)
-R [ パケットの採取率を設定できます ] (optional)
-T [ Packter TC が動作するホストの IP アドレスを指定します ] (optional)
-U ( snort からデータを読みとらせることもできます (optional) ]
[ 末尾に PCAP フィルタを設定できます ] (optional)
( -U を付けた時は,UNIX Domain Socket のパスになります)
snort と連携させるときは、Snort に "-A unsock" と "-b" をつけて起動してください (snort 2.8 以降推奨)
各色の意味は以下の通りです
| ID | 色 | 意味 | テクスチャ |
|---|---|---|---|
| 1 | 
| IPv4 + TCP ACK | packter01.png |
| 2 | 
| IPv4 + TCP SYN | packter02.png |
| 3 | 
| IPv4 + (TCP FIN or TCP RST) | packter03.png |
| 4 | 
| IPv4 + UDP | packter04.png |
| 5 | 
| IPv4 + ICMP | packter05.png |
| 6 | 
| IPv6 + TCP ACK | packter06.png |
| 7 | 
| IPv6 + TCP SYN | packter07.png |
| 8 | 
| IPv6 + (TCP FIN or TCP RST) | packter08.png |
| 9 | 
| IPv6 + UDP | packter09.png |
| 10 | 
| IPv6 + ICMP | packter10.png |
-f オプションを付けて起動した場合,ID の値がその分だけプラスされます.Viewer で通常とは異なるメッシュ・テクスチャの物体を表示したい場合に使います.
Packter sFlow の起動
Packter sFlow は sFlow エージェントから収集した情報を表示します.
% pt_sflow
-v [ PACKTER VIEWER が動作するホストの IP アドレスを指定します ] (must)
-p [ PACKTER VIEWER が動作するホストのポート番号を指定します(optional : デフォルト11300) ]
-b [ sFlow コレクタとして動作する IP アドレスを指定します(optional : デフォルト0.0.0.0) ]
-l [ sFlow コレクタとして動作するポート番号を指定します ] (optional: デフォルト6343)
-u [ 他のユーザとして起動します (optional) ]
-d ( デバッグ情報を表示します ) ]
-s ( サウンドをならすよう指示します (optional) ]
-f [ パケットIDの基準値を変更します (optional : デフォルト 0)
-R [ パケットの採取率を設定できます ] (optional)
-T [ Packter TC が動作するホストの IP アドレスを指定します ] (optional)
Packter NetFlow の起動
Packter NetFlow は NetFlow エージェントから収集した情報を表示します.
% pt_netflow
-v [ PACKTER VIEWER が動作するホストの IP アドレスを指定します ] (must)
-p [ PACKTER VIEWER が動作するホストのポート番号を指定します(optional : デフォルト11300) ]
-b [ sFlow コレクタとして動作する IP アドレスを指定します(optional : デフォルト0.0.0.0) ]
-l [ sFlow コレクタとして動作するポート番号を指定します ] (optional: デフォルト6343)
-u [ 他のユーザとして起動します (optional) ]
-d ( デバッグ情報を表示します ) ]
-s ( サウンドをならすよう指示します (optional) ]
-f [ パケットIDの基準値を変更します (optional : デフォルト 0)
-R [ パケットの採取率を設定できます ] (optional)
NetFlow 統計情報から IP Traceback を開始する方法は今のところサポートされていません.
Packter Thmon の起動
Packter Thmon はトラフィック内で SYN パケットなどの Threshold をモニタし、閾値を越えたときに PACKTER にメッセージを送信します。
% pt_thmon
-v [ PACKTER VIEWER が動作するホストの IP アドレスを指定します ] (must)
-p [ PACKTER VIEWER が動作するホストのポート番号を指定します(optional : デフォルト11300) ]
-i [ pcap でモニタリングするインタフェースを指定します (optional) ]
-r [ pcap パケットダンプファイルを読み取ります (optional) ]
-d ( デバッグ情報を表示します ) ]
-w [ メッセージを送信可能なインターバルを指定します (optinal : デフォルト30秒に1回) ]
-c [ 設定ファイルを指定します (optional) ]
-s ( サウンドに関連するメッセージを送信する場合に指定します)
-C [ パケットを収集する個数を設定します (optinal: デフォルト 500)]
-S [ TCP SYN パケットがしめる割合の閾値を 0 より大きく 1 以下の小数で指定します (optional)]
-F [ TCP FIN パケットがしめる割合の閾値を 0 より大きく 1 以下の小数で指定します (optional)]
-R [ TCP RST パケットがしめる割合の閾値を 0 より大きく 1 以下の小数で指定します (optional)]
-I [ ICMP パケットがしめる割合の閾値を 0 より大きく 1 以下の小数で指定します (optional)]
-U [ UDP パケットがしめる割合の閾値を 0 より大きく 1 以下の小数で指定します (optional)]
-P [ PPS の閾値を指定します ]
[ 末尾に PCAP フィルタを設定できます ] (optional)
-c で指定する設定ファイルの例は こちら
Packter TC の起動
Packter TC は Packter Viewer から送信される追跡要求を処理するコンポーネントです。追跡処理は InterTrackと互換性があります。Packter TC (Trackign Client) は InterTrack の DP (Decision Point) と接続可能になっています。
Packter TC の動作には XML::Pastorのインストールが必要です
% ./packter_tc.pl -v [ PACKTER VIEWER が動作するホストの IP アドレスを指定します ] (must) -d [ Decision Point が動作するホストの IP アドレスを指定します ] (must) -l [ Listen する IP アドレスを指定します ] (must) -c [ 設定ファイルを指定します (optional) ] -s ( サウンドに関連するメッセージを送信する場合に指定します )
-c で指定する設定ファイルの例は こちら