タグ別アーカイブ: 5.x

firewall enable

access groupコマンドと合わせてネットワークアクセス制御を行います。

書式

[no] firewall enable

パラメータ

なし

デフォルト設定

無効

コマンドモード

Global Configuration Mode

説明

  • firewall enableコマンドを実行すると,access groupコマンドによって明示的に許可された相手先IPアドレス,プロトコル,ポート以外との通信が禁止されます。つまり,アクセスリストの最後に暗黙のdenyを追加します。firewall enableが無効のとき,access groupコマンドによって明示的に禁止された相手先IPアドレス,プロトコル,ポート以外との通信は許可されます。
  • firewall enableコマンドで暗黙のdenyが有効になっていても,GenieATM側からは外部ホストに対してセッションを確立し,応答パケットを受け取ることはできます。(ただし,相手先ホストが明示的にdeny設定されていない場合に限ります)
  • 設定を無効にするには,no firewall enableコマンドを発行します。
  • 現在の設定を確認するには,show runningコマンドを発行します。

注意事項

  • access groupコマンドで設定を追加する際には,先にno firewall enableコマンドでファイアウォールを無効にしてください。(バージョン5.6.3-RP3まではfirewall enableが設定された状態でも[no] access groupコマンドが発行できますが,想定外の結果を招く場合がありますので避けてください)
  • firewall enableコマンドを実行していなくても,access groupコマンドをdeny指定で実行した内容は即座に有効になり,アクセスがブロックされるようになります。
  • コントローラ,コレクタのSNMP IPアドレスをローカル・ループバック・アドレス(127.0.0.1)以外に設定している場合は,コントローラ―コレクタ間の通信がブロックされないために,それらのIPアドレスも明示的に許可してください。
  • ExporterのIPアドレスをブロックしてしまうとフローレコードが取得できなくなります。
  • firewall enableコマンドで有効になる暗黙のdenyは,外部ホストからGenieATMに対して新規に確立しようとしたセッションや送信しようとしたパケットに対して適用されます。GenieATM側からセッションを張る場合や,そのようなセッションを使って相手先から受信するパケットはブロックされません。たとえば,BGPセッションは常にGenieATMから張りに行くので,対応ルータをaccess groupコマンドでdenyしていない限り通信できます。また,ローカル・ループバック・アドレス(127.0.0.1)についてもブロックされることはありません。
  • access web-groupコマンドの動作には影響しません。

実行例

(config)# firewall enable
(config)# show running
#### show running configure ####
!
(中略)
  ip route 172.16.0.0 255.255.0.0 192.168.0.1 0
  firewall enable
  access group 172.16.3.58 netmask 255.255.255.255 protocol ip permit
  access group 172.16.3.0 netmask 255.255.255.0 protocol ip deny
  access group 172.16.2.0 netmask 255.255.255.0 protocol tcp 443 permit
  access group 172.16.2.0 netmask 255.255.255.0 protocol tcp 80 deny
  module id collector 3001
(中略)
!
!
(config)# 

access web-group

firewall web-login enableコマンドと合わせて管理者権限を持つユーザIDでGUIにログイン可能なIPアドレスを規定します。

書式

[no] access web-group <ip-address> netmask <netmask> permit

パラメータ

キーワード 説明
<ip-address> 対象となるIPv4アドレスまたはサブネットアドレス
<netmask> <ip-address>パラメータに適用されるサブネットマスク

デフォルト設定

なし

コマンドモード

Global Configuration Mode

説明

  • 管理者権限を持つユーザIDでGUIにログイン可能なホストのIPアドレスをプレフィックス表記で規定します。firewall web-login enableコマンドを実行すると,あらかじめこのコマンドで明示的に許可されているIPアドレス以外からはGUI管理者としてログインできなくなります。
  • 登録した設定を削除するには,no access web-groupコマンドを発行します。
  • 現在の設定を確認するには,show runningコマンドを発行します。

注意事項

  • 最後のパラメータにdenyは指定できません。
  • firewall web-login enableコマンドを実行するまで,このコマンドによる設定は効力を持ちません。
  • access web-groupコマンドを実行せずにfirewall web-login enableコマンドを実行すると,どこからも管理者権限のユーザIDでGUIにログインできなくなります。
  • ユーザIDに関わらずGUIへのログインを規制したい場合は,access groupコマンドでhttpやhttpsのポート番号へのアクセスをブロックします。
  • access web-groupコマンドは最大128件登録することができます。129件目を登録しようとするとエラーになります。

実行例

(config)# access web-group 172.16.2.0 netmask 255.255.255.0 permit
(config)# access web-group 172.16.1.1 netmask 255.255.255.255 permit
(config)# show running
#### show running configure ####
!
(中略)
  ip route 172.16.0.0 255.255.0.0 192.168.0.1 0
  access web-group 172.16.2.0 netmask 255.255.255.0 permit
  access web-group 172.16.1.1 netmask 255.255.255.255 permit
  module id collector 3001
(中略)
!
!
(config)# 

3種類の異常トラフィック検出機能の比較

GenieATMには以下の3種類の異常トラフィック検出機能があります。

それぞれの特徴は以下の表の通りです。

種類 検出ベース シグニチャ シグニチャ
追加
ミチゲーション
起動
検出
時間
プロトコル
不正使用
送信先IPアドレス DDoS攻撃検出を想定

  • 総トラフィック
  • UDPやICMPなどの個別プロトコル
  • 特定のTCPフラグを持つパケット
不可 自動・手動 1分*
アプリケー
ション異常
送信元IPアドレス
送信先IPアドレス
DDoS攻撃・Worm検出を想定

  • パケット長
  • プロトコル
  • プレフィックス
  • ポート番号

など

可能 自動・手動 1分*
トラフィック
異常
ネットワーク単位 閾値定義のみ 不可 なし 5分

* バージョン5.6.3までは2分

プロトコル不正使用はL3/L4レベルの異常トラフィックの検知を,アプリケーション異常は特定のL7アプリケーションプロトコルにおける異常パケットを検知できるようにデザインされています。しかし,ともに個別IPアドレスに関するトラフィックを監視対象とし,ミチゲーションの自動発動の契機とすることができるなど共通点も多いため,用途に応じて使い分けてください。アプリケーション異常は,送信元IPアドレスベースでの異常トラフィック検出が可能である点と,新たなシグニチャをユーザが定義することができる点が最大の特徴です。一方,プロトコル不正使用には,サブネットワークごとに独自の閾値が設定可能なほか,Land攻撃(送信元と送信先のIPアドレスが同じである不正パケット)の検出のように,アプリケーション異常のシグニチャでは定義できないものも含まれています。

一方,トラフィック異常は,ネットワークリソースの総トラフィック量がネットワーク帯域などに比較して適切であるかを監視するために使用されます。ネットワークリソースとしては,サブネットワーク,フィルタ,ルータ・インターフェースが指定できます。

それぞれの異常トラフィック検出機能の詳細については,個別の項目をご覧ください。

関連トピック

異常トラフィック検出機能 – プロトコル不正使用
異常トラフィック検出機能 – アプリケーション異常
異常トラフィック検出機能 – トラフィック異常

異常トラフィック検出機能 – プロトコル不正使用

GenieATMが持つ3種類の異常トラフィック検出機能のうち,プロトコル不正使用についてご説明します。

プロトコル不正使用検出機能は,その名の通り,主にL2,L3プロトコルレベルでの異常トラフィックを検出する機能です。特定のIPアドレス宛てのトラフィックでシグニチャに一致するものが閾値を超えると異常を検出します。また,検出をミチゲーション発動のトリガーとすることができます。

シグニチャは以下の10種類が用意されており,ユーザが追加,変更することはできません。

シグニチャ名 検出条件
TCP SYN Flooding SYNフラグがセットされたTCPトラフィック
IP Protocol Null プロトコル番号が0のIPパケットのトラフィック
TCP Flag Null or Misuse TCPフラグがゼロまたはありえない組み合わせのTCPパケットのトラフィック
TCP Fragment フラグメントされたTCPパケットのトラフィック
UDP Fragment フラグメントされたUDPパケットのトラフィック
ICMP Misuse ICMPトラフィック
Land Attack Land攻撃トラフィック(送信元と送信先IPアドレスが同じSYNフラグがセットされたTCPパケット)
TCP RST Flooding RSTフラグがセットされたTCPトラフィック
UDP Flooding UDPトラフィック
Host Total Traffic 中身に関わらずすべてのトラフィック

異常判定は30秒ごとのトラフィックについて行い,30秒平均が2回連続で閾値を上回ると異常トラフィックと判定します。(バージョン5.6.3までは1分平均のトラフィックが2回連続で閾値を上回ることが検出条件です)

ホームネットワーク,非ホームネットワークそれぞれについて閾値を設定できるほか,各サブネットワークに個別の設定を行うことも可能です。また,bpsとppsの2種類指定でき,両方指定した場合はどちらかを超えた場合に検出となります。

関連トピック

3種類の異常トラフィック検出機能の比較

ダークIPレポートとワームレポート

異常トラフィックメニューの下でダークIPとワームのレポートを見ることができます。

異常トラフィック > ダークIP
異常トラフィック > ワーム

これらは,ワームなどに感染して攻撃に加担している可能性のあるホスト,あるいはそのようなホストから攻撃を受けている可能性のあるホストを発見するのに役立ちます。

ダークIPとは,ダークネットともいい,インターネット上で到達可能ではあるが使用されないはずのIPアドレス空間です。もし,あるホストがこのようなアドレスを宛先とするパケットを送信していた場合,このホストに感染したワームなどが通信を試みている可能性があります。また,あるホストにダークIPを送信元とするパケットが届いている場合,送信元を隠ぺいした攻撃を受けている可能性があります。

ダークIP向けの通信を行っているホストとそれらの送信トラフィック量は,以下のレポートで確認することができます。

異常トラフィック > ダークIP > 詳細レポート > 感染ホスト

また,ダークIPを送信元とするトラフィックを受け取っているホストとその受信トラフィック量は,以下のレポートで確認することができます。

異常トラフィック > ダークIP > 詳細レポート > 被害者ホスト

ダークIPの定義は以下のページで定義されています。

システム管理 > ネットワーク > ダークIPリスト

デフォルトでローカルIPアドレス(10.0.0.0/8,172.16.0.0/12,192.168.0.0/16)も含まれていますので,ご使用のホームネットワーク内でこれらのIPアドレス空間を使用している場合は適宜除外してください。

一方,アプリケーション異常(システム管理 > ネットワーク > 異常状態 > アプリケーション異常タブ)として定義されたシグニチャに一致するトラフィックを送信しているホストは,ワームに感染している可能性が疑われます。以下のレポートでは,シグニチャごとに送信元ホストとそのトラフィック量を表示します。

異常トラフィック > ワーム > 詳細レポート > 感染ホスト

関連トピック

異常トラフィック検出機能 – アプリケーション異常

デバイス連携のミチゲーションポリシーが発動しない

GenieATMはA10 Thunder TPSやRadware DefensePro等のミチゲーションデバイスと連携してDDoS攻撃を防御する機能を持っています。
ブラックホールポリシーと同様のミチゲーションポリシーをあらかじめ定義しておき,特定のホストへの攻撃を検知したときに当該ホストへのトラフィックへの経路をミチゲーションデバイスに向けることで防御を行います。

ミチゲーション動作の仕組み

デバイス連携の自動ミチゲーションを有効にしていたにもかかわらず,防御対象のIPアドレスに対する攻撃が検出されたときに,ポリシーが発動しない場合があります。その場合,すでに発動中のミチゲーションアクションによりポリシーに設定したデバイスの帯域が埋まっている可能性があります。

ミチゲーションデバイス連携ポリシーの設定画面には,下のような帯域設定項目があります。これは,デバイスのキャパシティを超えて異常トラフィックが流れ込まないようにするための機能です。

ミチゲーションポリシーの帯域設定

例えば,帯域を1Gbpsに設定しているデバイスに現在発動中のミチゲーションにより合計1Gbps超のトラフィックがすでに流入している場合,当該デバイスについて新たなミチゲーションは発動されません。ただし,ブラックホールポリシーなどほかのタイプのポリシーが定義されている場合は,そちらが発動します。

関連トピック

Blackholeポリシーが機能しない

レポート再構成時のRawdata存在判定

レポート再構成機能(システム管理 > レポート再構成)の「Step 2.時間間隔と対象コレクターの指定」において対象日付範囲を指定するダイアログボックスがあります。ここには,コレクターごとに各日付のRawdata存在状況が,No Data,Incomplete Data,Complete Dataの3種類の色分けで表示されます。

レポート再構成時の日付範囲指定ダイアログ

この判定は,1分ごとにディスク上に作成されるRawdataファイルに基づいて以下のように行われます。

種別 条件
No Data 毎時0分,5分,10分…のRawdataファイルが一つも存在しない
Incomplete Data 毎時0分,5分,10分…のRawdataファイルのうち1つでも存在しないものがある
Complete Data 毎時0分,5分,10分…のRawdataファイルがすべて存在する

従って,正常にフローレコードを受信し続けている場合でも,トラフィックの落ち込んだ時間帯にRawdataファイルが作成されないことがあるとIncomplete Dataと判定されることになりますので,あくまでも目安としてお考えください。なお,Rawdataファイルの一覧は,CLIよりshow rawdataコマンドで見ることができます。

show rawdata {internal | nfs} [ from <from-datetime> to <to-datetime> ]

構成のディスパッチとは

GenieATMでは,GUIから

システム管理 > ネットワーク

の下のページで行った変更を有効にするために,ディスパッチと呼ばれるオペレーションが必要です。

GenieATMは,コントローラとコレクタという2種類のモジュールから構成されています。GUIでのオペレーションはコントローラ側に持っている構成情報だけを変更するため,次のようなコレクタに必要な構成情報は,ディスパッチによってコレクタに展開する必要があります。

  • ルータとインターフェイスの定義
  • ホームネットワークやサブネットワークとその境界の定義
  • ルールベースレポート定義
  • 異常検出の閾値などの設定

構成のディスパッチ

ディスパッチを行うには,

システム管理 > 構成

から現在の構成に名前を付けて「ネットワーク構成をDispatchして保存」ボタンを押します。「同期ステータスを取得」ボタンを押して,ステータスが「同期化中」から「完了」になれば,すべてのコレクタへの展開が完了しています。

システム構成管理ページ

ただし,コレクタに展開された構成情報が有効になるタイミングは,毎時0分,5分,10分…であることに注意してください。たとえば,ルータからのフローパケット受信やAS経路分析用の経路テーブルを取得するためのBGPピアは,このタイミングまで開始されません。(DDoS防御時に経路変更を注入するためのBGPピアはコントローラから張られるため,GUIの設定変更直後に確立されます。)

そのほか,ソフトウェアバージョンのアップグレードを行った後や,DBの初期化を行ったときも,ディスパッチを行うようにしてください。

フローレコード受信の確認

GenieATMに新たなエクスポータの定義を追加したのにスナップショットやレポートでトラフィックが表示されない場合の標準的なご確認項目,切り分け方法をご紹介します。

  1. ネットワーク到達性
  2. ファイヤーウォール
  3. フローパケットの到達

1. ネットワーク到達性

CLIのEnableモードよりpingコマンドでエクスポータとのネットワーク到達性を確認します。

ATM90 # ping 172.16.2.224
PING 172.16.2.224 (172.16.2.224) 56(84) bytes of data.
64 bytes from 172.16.2.224: icmp_req=1 ttl=64 time=1.53 ms
64 bytes from 172.16.2.224: icmp_req=2 ttl=64 time=0.411 ms
64 bytes from 172.16.2.224: icmp_req=3 ttl=64 time=0.422 ms
^C
--- 172.16.2.10 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2000ms
rtt min/avg/max/mdev = 0.411/0.790/1.538/0.529 ms
ATM90 #

(Ctrl+Cで停止します)

2. ファイヤーウォール

CLIのEnableモードよりshow runningコマンドによりaccess groupfirewall enableの設定を表示し,エクスポータからフロー受信ポートへのUDPパケットがブロックされていないことを確認します。

ATM90 # show running
#### show running configure ####
!
!
  hostname ATM90
  clock timezone JST +9
  ip domain-name jp.genie-networks.com
!
interface ethernet 0
  ip address 172.16.2.90 255.255.255.0
  ip address 172.16.2.92 255.255.255.0 secondary
!
   :
  (中略)
   :
  ip route 0.0.0.0 0.0.0.0 172.16.2.1 0
  access group 172.16.0.0 netmask 255.255.0.0 protocol ip permit
  firewall enable
  module id collector 3001
   :
  (中略)
   :
!
ATM90 #
3. フローパケットの到達

flow dumpコマンドをsrc hostにエクスポータのIPアドレスを指定して実行し,フローレコードが届いているかを確認します。

ATM90 (debug)# flow dump
Please input nfdump parameters and press return
-a "src host 172.16.2.224"
Do you want to add "more" command behind the nfdump
parameters to prevent terminal session crashed?(Y/N) y
nfdump: listening on device eth0
expression: src host 172.16.2.224
11:04:23  172.16.2.224.8888 > 172.16.2.90.6343 : sflow ver = 4, count = 1, len = 224
 -----------------------------------------------------------------------
| version         | ip_ver          | agent_addr      | seq_number      |
| 4               | 1               | 172.16.2.224    | 61884802        |
 -----------------------------------------------------------------------
| switch_uptime   | count           |
| 1190572734      | 1               |
------------------------------------
flow      1 sample_type         1                     seq_number          84086197
sample      src_id_type         0                     src_index_value     33
            sampling_interval   256                   sample_pool         51229952
            drops               0                     input               33
            output              0                     packet_data_type    1
            header_protocol     1                     frame_length        1466
            length_of_header    128                   Destination         29:73:08:0c:34:e3
            Source              03:d7:55:2b:21:c0     type                0x8100
            priority            0                     CFI                 0
            id                  102                   type                0x800
            version             4                     header_length       20
            tos                 0x0                   total_length        1444
            id                  0x44cc                flag                0x0
            flag_offset         0x0                   time_to_live        254
            protocol            0x11                  checksum            0x5538
            source ip address   10.144.8.2            dest ip address     172.16.2.149
            source port number  56488                 dst port number     2055
            udp_length          1424                  udp_checksum        0x5ea5
            data                82        bytes
            n_extended_data     1
            extened_data_type   1                     src vlan            102
            src priority        0                     dest vlan           0
            dest priority       0

            -------------------------------------------------------------------------------------
11:04:24  172.16.2.224.8888 > 172.16.2.90.6343 : sflow ver = 4, count = 1, len = 216
 -----------------------------------------------------------------------
| version         | ip_ver          | agent_addr      | seq_number      |
| 4               | 1               | 172.16.2.224    | 61884803        |
 -----------------------------------------------------------------------
| switch_uptime   | count           |
| 1190573744      | 1               |
------------------------------------
flow      1 sample_type         1                     seq_number          6101417
sample      src_id_type         0                     src_index_value     30
            sampling_interval   256                   sample_pool         1561962752
            drops               0                     input               30
            output              0                     packet_data_type    1
ATM90 (debug)#

上記の例ではsFlowバージョン4のフローサンプルレコードが届いていることが分かります。

確認ポイント

  • sFlowのヘッダにはAgentアドレス(上記の結果のagent addr)という項目があります。これがGenieATMのエクスポータ定義の「フローエクスポータIPアドレス」と一致していなければなりません。フローの送信元IPアドレスとは異なる場合がありますのでご注意ください。
  • ヘッダにフローレコード数の項目(count)があります。NetFlowバージョン9は1つのフローパケットに複数のフローセットが含まれ,1つのフローセットに複数のフローレコードが含まれるという2階層構造を持ちます。count項目にはフローセットではなくフローレコードの総数が入っている必要があり,GenieATMはこの項目が適切に設定されていないと当該フローパケットを正しく解析することができません。

flow dump

GenieATMが受信しているフローレコードを表示します。

書式

flow dump
[-a | -h] [-i <interface>] [-c <count>]"<expr>"

主な追加パラメータ

キーワード 説明
-a | -h -a: すべての属性を表示
-h: フローパケットのヘッダ部分のみ表示
(指定なし): フローパケットの概要のみ表示
-i <interface> フローを受信するインターフェースを指定。省略するとeth0
-c <count> 指定した件数のフローパケットを受信するとコマンドを終了する。省略した場合は停止するまでフローを表示し続ける。
"<expr>" 表示するフローパケットの条件

構造

<expr> := {<expr> and <expr> | <expr> or <expr> | not <expr> | (<expr>)}
※ 括弧以外,条件の評価は単純に左から右に行わる。したがって,A and B or C and Dは(((A and B) or C) and D)と評価される。

表記

<expr> := {{src | dst | [src | dst] host} <ipv4 address> | [src | dst] net <ipv4 prefix> | [src | dst] port <port no> }
※ 表記はフローパケットに関する条件であることに注意。したがって,dst portで指定する条件はGenieATMがフローパケットを受信するポート番号であり,フローが示すトラフィックの送信先ポート番号ではない。
※ 明示的にsrcdstを指定しない場合,送信元,送信先のいずれかが条件に一致すれば表示される。

デフォルト設定

なし

コマンドモード

Debug Mode

説明

  • GenieATMが受信したフローレコードのうちパラメータで指定した条件に一致するものを指定したフォーマットで表示します。
  • パラメータはflow dumpコマンドを入力した後
    Please input nfdump parameters and press return

    が表示されてから入力します。

  • パラメータで受信件数を指定した場合は,その件数を表示すると終了します。それ以外の場合はCtrl+Cで停止するまで表示し続けます。

注意事項

  • 内部的にはnfdumpのバージョン1.1が動作します。新しいバージョンのnfdumpとは動作が異なる可能性があります。
  • flow dumpコマンドは,GenieATMのfirewallによってフローレコードの受信ができないルータからのフローレコードも表示します。GUIのスナップショットなどからトラフィックが見えない場合はaccess groupコマンドやfirewall enableコマンドの設定も確認してください。

実行例

# debugmode
(debug)# flow dump
Please input nfdump parameters and press return
"host 172.16.2.24"
Do you want to add "more" command behind the nfdump
parameters to prevent terminal session crashed?(Y/N) y
nfdump: listening on device eth0
expression: host 172.16.2.24
15:42:29  172.16.2.24.8888 > 172.16.2.90.6343 : sflow ver = 4, count = 2, len = 348
15:42:31  172.16.2.24.8888 > 172.16.2.90.6343 : sflow ver = 4, count = 7, len = 1200
15:42:31  172.16.2.24.8888 > 172.16.2.90.6343 : sflow ver = 4, count = 2, len = 424
15:42:32  172.16.2.24.8888 > 172.16.2.90.6343 : sflow ver = 4, count = 3, len = 568
15:42:33  172.16.2.24.8888 > 172.16.2.90.6343 : sflow ver = 4, count = 4, len = 748
15:42:34  172.16.2.24.8888 > 172.16.2.90.6343 : sflow ver = 4, count = 7, len = 1256
15:42:34  172.16.2.24.8888 > 172.16.2.90.6343 : sflow ver = 4, count = 6, len = 1224
   :
 (中略)
   :
15:42:35  172.16.2.24.8888 > 172.16.2.90.6343 : sflow ver = 4, count = 7, len = 1256
15:42:35  172.16.2.24.8888 > 172.16.2.90.6343 : sflow ver = 4, count = 7, len = 1312
15:42:35  172.16.2.24.8888 > 172.16.2.90.6343 : sflow ver = 4, count = 7, len = 1256
15:42:35  172.16.2.24.8888 > 172.16.2.90.6343 : sflow ver = 4, count = 7, len = 1256
(debug)# 
(debug)# flow dump
Please input nfdump parameters and press return
-h "src 172.16.2.10"
Do you want to add "more" command behind the nfdump
parameters to prevent terminal session crashed?(Y/N) y
nfdump: listening on device eth0
expression: src 172.16.2.10
15:00:24  172.16.2.10.44080 > 172.16.2.90.9996 : netflow ver = 5, count = 30, len = 1464
 -----------------------------------------------------------------------
| version| count  | sys_uptime      | unix_secs       | unix_nsecs      |
| 5      | 30     | 249804000       | 1450332048      | 303589000       |
 -----------------------------------------------------------------------
| flow_sequence   |type|id |sampling|
| 1624560         | 1  | 1 | 0      |
------------------------------------
15:00:25  172.16.2.10.35074 > 172.16.2.90.9996 : netflow ver = 5, count = 30, len = 1464
 -----------------------------------------------------------------------
| version| count  | sys_uptime      | unix_secs       | unix_nsecs      |
| 5      | 30     | 249804000       | 1450332048      | 352822000       |
 -----------------------------------------------------------------------
| flow_sequence   |type|id |sampling|
| 1624500         | 1  | 1 | 0      |
------------------------------------
15:00:25  172.16.2.10.62301 > 172.16.2.90.9996 : netflow ver = 5, count = 30, len = 1464
 -----------------------------------------------------------------------
| version| count  | sys_uptime      | unix_secs       | unix_nsecs      |
| 5      | 30     | 249804000       | 1450332048      | 372876000       |
 -----------------------------------------------------------------------
| flow_sequence   |type|id |sampling|
(debug)#
(debug)# flow dump
Please input nfdump parameters and press return
-a -c 2 "port 6343"
Do you want to add "more" command behind the nfdump
parameters to prevent terminal session crashed?(Y/N) n
nfdump: listening on device eth0
expression: port 6343
18:03:19  172.16.2.224.8888 > 172.16.2.90.6343 : sflow ver = 4, count = 7, len = 1200
 -----------------------------------------------------------------------
| version         | ip_ver          | agent_addr      | seq_number      |
| 4               | 1               | 172.16.2.224    | 61826628        |
 -----------------------------------------------------------------------
| switch_uptime   | count           |
| 1129306885      | 7               |
------------------------------------
flow      1 sample_type         1                     seq_number          83992247
sample      src_id_type         0                     src_index_value     33
            sampling_interval   256                   sample_pool         27178752
            drops               0                     input               33
            output              0                     packet_data_type    1
            header_protocol     1                     frame_length        1518
            length_of_header    128                   Destination         02:9d:80:9c:73:3a
            Source              66:27:c8:20:26:b7     type                0x8100
            priority            0                     CFI                 0
            id                  103                   type                0x800
            version             4                     header_length       20
            tos                 0x0                   total_length        1500
            id                  0x8d2d                flag                0x2
            flag_offset         0x0                   time_to_live        64
            protocol            0x6                   checksum            0x492c
            source ip address   172.16.3.91           dest ip address     172.16.3.71
            source port number  57185                 dst port number     548
            sequence number     3772736637            ack number          4002378524
            header length       32                    tcp flag            -A----
            window size         32768                 tcp_checksum        0xb867
            urgent pointer      0
            data                70        bytes
            n_extended_data     1
            extened_data_type   1                     src vlan            103
            src priority        0                     dest vlan           0
            dest priority       0

            -------------------------------------------------------------------------------------
flow      2 sample_type         1                     seq_number          83992248
sample      src_id_type         0                     src_index_value     33
            sampling_interval   256                   sample_pool         27179008
            drops               0                     input               33
            output              0                     packet_data_type    1
            header_protocol     1                     frame_length        1518
            length_of_header    128                   Destination         02:9d:80:9c:73:3a
            Source              66:27:c8:20:26:b7     type                0x8100
            priority            0                     CFI                 0
            id                  103                   type                0x800
            version             4                     header_length       20
            tos                 0x0                   total_length        1500
            id                  0xd6da                flag                0x2
            flag_offset         0x0                   time_to_live        64
            protocol            0x6                   checksum            0xff7e
            source ip address   172.16.3.91           dest ip address     172.16.3.71
            source port number  57185                 dst port number     548
            sequence number     3772842717            ack number          4002378524
            header length       32                    tcp flag            -A----
            window size         32768                 tcp_checksum        0xf32d
            urgent pointer      0
            data                70        bytes
            n_extended_data     1
            extened_data_type   1                     src vlan            103
            src priority        0                     dest vlan           0
            dest priority       0

            -------------------------------------------------------------------------------------
flow      3 sample_type         1                     seq_number          29701300
sample      src_id_type         0                     src_index_value     32
            sampling_interval   256                   sample_pool         3308565504
    :
  (中略)
    :
            -------------------------------------------------------------------------------------
18:03:19  172.16.2.224.8888 > 172.16.2.90.6343 : sflow ver = 4, count = 8, len = 1336
 -----------------------------------------------------------------------
| version         | ip_ver          | agent_addr      | seq_number      |
| 4               | 1               | 172.16.2.224    | 61826629        |
 -----------------------------------------------------------------------
| switch_uptime   | count           |
| 1129307016      | 8               |
------------------------------------
flow      1 sample_type         1                     seq_number          29701304
sample      src_id_type         0                     src_index_value     32
            sampling_interval   256                   sample_pool         3308566528
            drops               0                     input               32
            output              0                     packet_data_type    1
            header_protocol     1                     frame_length        70
            length_of_header    70                    Destination         66:27:c8:20:26:b7
            Source              02:9d:80:9c:73:3a     type                0x8100
            priority            0                     CFI                 0
            id                  103                   type                0x800
            version             4                     header_length       20
            tos                 0x0                   total_length        52
            id                  0x45c6                flag                0x2
            flag_offset         0x0                   time_to_live        64
            protocol            0x6                   checksum            0x963b
            source ip address   172.16.3.71           dest ip address     172.16.3.91
            source port number  548                   dst port number     57185
            sequence number     4002378758            ack number          3773996523
            header length       32                    tcp flag            -A----
            window size         19450                 tcp_checksum        0xe2e0
            urgent pointer      0
            data                12        bytes
            n_extended_data     0

            -------------------------------------------------------------------------------------
    :
  (後略)
(debug)#