Flowの最近のブログ記事

c3620の古いIOS 12.3(22)でNetFlowをExportしたらWiresharkのbugに気が付いてしまった。

ubuntuに入ってたWireshark 1.2.2でデコード
Subversion(revision 31474)のソースコードからbuildしたWiresharkでデコード
"no template found"になっているではありませんか。
そもそもScope FieldのLengthが0って良いのか良くわからないが、Cisco実装がこうなっているので仕方ない。

I opened a wireshark bugzilla ticket.
Bug 4365 -  More complete support for IPFIX Information Elements for packet-netflow.c  (https://bugs.wireshark.org/bugzilla/show_bug.cgi?id=4365)
-

More complete support for IPFIX Information Elements for packet-netflow.c

Build Information:
wireshark 1.3.3 (SVN Rev 31391 from /trunk)

Copyright 1998-2009 Gerald Combs <gerald@wireshark.org> and contributors.
This is free software; see the source for copying conditions. There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

Compiled with GTK+ 2.12.12, with GLib 2.16.6, with libpcap 0.9.8, with libz
1.2.3.3, without POSIX capabilities, without libpcre, without SMI, without
c-ares, without ADNS, without Lua, without Python, without GnuTLS, without
Gcrypt, without Kerberos, without GeoIP, without PortAudio, without AirPcap,
with new_packet_list.

Running on Linux 2.6.25.20-co-0.8.0, with libpcap version 0.9.8.

Built using gcc 4.3.2.
--
This attached patch enhance the number of supporting standard IPFIX Information
Elements which are defined in
http://www.iana.org/assignments/ipfix/ipfix.xhtml.

I sent a following mail to Vermont-dev mailing list. (The mail is archived in https://lists.berlios.de/mailman/private/vermont-dev/2009-December/000280.html, but an account is required to see the archive.)
-
Hello developers and all,

I downloaded source code via subversion and compile it. The configurability of VERMONT is very good, but the data size of exported IPFIX packets including data records can not be configured. The exported packets always include 10 records.
I made a temporary patch to configure data size of exported packets.
(I understand that the parameter is not described in the destination class in draft-ietf-ipfix-configuration-model-04)

This is a part of my configuration file. I added "maxPacketsize".
        <ipfixExporter id="8">
                <observationDomainId>99</observationDomainId>
                <ipfixPacketRestrictions>
                        <maxPacketSize>1500</maxPacketSize>
                </ipfixPacketRestrictions>

                <collector>
                        <ipAddress>127.0.0.1</ipAddress>
                        <transportProtocol>17</transportProtocol>
                </collector>
        </ipfixExporter>

自分が進藤さんにflowopsで会う前にInternet上で知り合いになったのが、1年以上前のwiresharkのIPFIXに関するバグのエントリだったりする。進藤さんのblogのエントリでsFlowのパッチをbug report出したと言うエントリがあったので、自分も頑張らなければと思って、2〜3週間ほど土日を潰してpatchを作りIPFIXのdissectorに関するbugをようやくopenしました。bugzillaへの投稿は初なので、手間取りました。しかも最初間違えてpatchではなくsource全体をattachしてしまった。他にもbugとpatchの出しかたを色々と間違えているかもしれない。

直した内容は以下の通り
1： IPFIXが正しくデコードできない問題の対処
2： RFC5102で標準化されたInformation Elementsを全サポート
3： RFC5101で標準化されているPEN(企業独自フィールド)とRFC5103で標準化されている双方向フローのサポート

しかし、1年以上放置してもまったく直らないということはwireshark&IPFIXという事に気をかけている人は日本中(もしかしたら世界中?)に自分以外いないのかなとも思ってしまった。

＃追伸:1時間もしないでrevision 25905に取り込まれました。ところが1ヶ所変数初期化していない箇所があり、Mac OSXのbuildでこけまして、誰かがrevision 25906でなおしてくれてました。というか何で自分の環境はなぜ上手く行ったのだろう。。。
ここにもソースをさらしておきます。

以前、softflowdのバグを指摘した(MLへの投稿)のですが、何故か指摘したsoftflowd(NetFlow Probe(Exporter))とではなくflowd(NetFlow Collector)が修正されました。flowd/softflowd両方間違えていたと言うことみたいなのですが、softflowdの方も修正して欲しい。

softflowdというOne of NetFlow Exporter(Probe) Softwareのbug reportをしたのだが、patchをつけなかったせいか、無視されております(反応がありません)。
[netflow-tools] LAST_SWITCHED and FIRST_SWITCHED should be swapped in netflow9.c of softflowd.

IRS10に参加しました。Flow最新動向でしたが、正直俺の日ごろのサーベイにより、特に得れる情報は少なかったです。
それよりかは、色々な人と(と言っても数人だけど)お知り合い(と言っても名刺交換だけど)になったのが良かったです。
会社の人でプレゼンしてた人がいるのですが、同じ会社の中で知らない人がたくさん、と言う状態なので、そのプレゼンしてた人は面識なかったのですが、挨拶しに行ったら、「名前は聞いてます」とかいわれた。トラフィック系の人にどこからともなく名前が知られるようになったか。うしし。