Netflow (Ağ Veri Akışı Algılama Protokolü)
Yazılım sisteminin yükseltilmesi ve güvenlik açığı onarım planının olgunlaşması ile birlikte, doğrudan hasar için makineye giren virüs saldırısı modu yavaş yavaş azalıyor.Ve sonra sınırlı ağ kaynaklarının kötü niyetli tüketimine dönüşür., ağ tıkanıklığına neden olur ve böylece sistemin dış hizmetler sağlama yeteneğini yok eder.Endüstri, ağ hatalarını ve saldırılarını yargılamak için ağ veri akışını tespit etmek için bir yöntem önerdi.Ağ veri akışı bilgilerini gerçek zamanlı olarak tespit ederek,Ağ yöneticileri, tarihsel örneği (normal olup olmadığını değerlendirmek için) veya anormal örneği (saldırıya uğradığını değerlendirmek için) eşleştirerek tüm ağın durumunu gerçek zamanlı olarak kontrol edebilir. Ağ performansında olası darlıkları tespit etmek ve verimli ve güvenilir ağ çalışmasını sağlamak için otomatik olarak işleme veya alarm gösterimi.
Netflow teknolojisi ilk olarak 1996 yılında Cisco'dan Darren Kerr ve Barry Bruins tarafından icat edildi ve aynı yılın Mayıs ayında ABD patent olarak kaydedildi.Netflow teknolojisi ilk olarak veri alışverişini hızlandırmak için ağ ekipmanlarında kullanılır, ve yüksek hızlı yönlendirilen IP veri akışının ölçüm ve istatistiklerini gerçekleştirebilir.Netflow'un veri değişimi hızlandırması için orijinal fonksiyonu, ağ cihazlarında özel ASIC yongaları ile yavaş yavaş değiştirildi.IP/MPLS trafik analizi için en tanınmış endüstri standardı haline geldi.İnternet alanındaki istatistik ve faturalamaNetflow teknolojisi, IP/MPLS ağ trafiğinin ayrıntılı davranış kalıbını analiz edebilir ve ölçebilir ve ağ operasyonunun ayrıntılı istatistiklerini sağlayabilir.
Netflow sistemi üç ana bölümden oluşur: İhracatçı, Toplayıcı ve Analiz raporlama sistemi.
İhracatçı: Ağ verilerini izler
Toplayıcı: Eksportör'den ihraç edilen ağ verilerini toplamak için kullanılır
Analiz: Toplayıcıdan toplanan ağ verilerini analiz etmek ve rapor oluşturmak için kullanılır
Netflow tarafından toplanan bilgileri analiz ederek, ağ yöneticileri paketlerin kaynağını, varış noktasını, ağ hizmeti türünü ve ağ tıkanıklığının nedenini bilebilirler.Tcpdump gibi ağ trafiğinin tam bir kaydını sağlamayabilir., ama bir araya geldiğinde yönetilmesi ve okunması çok daha kolaydır.
NetFlow ağ veri çıkışı yönlendiricilerden ve anahtarlardan geçerli olan veri akışlarından ve ayrıntılı trafik istatistiklerinden oluşur.Bu veri akışları, paketlerin kaynağı ve hedefi ile ilişkili IP adresini içerir.Trafik istatistikleri veri akışı zaman damgasını, kaynak ve hedef IP adreslerini, kaynak ve hedef port numaralarını içerir.Giriş ve çıkış arayüz numaraları, bir sonraki hop IP adresleri, akıştaki toplam baytlar, akıştaki paket sayısı ve akıştaki ilk ve son paketlerin zaman damgaları. ve ön maske, paket numarası vb.
Netflow V9, şablon tabanlı istatistik çıkışı ile yeni esnek ve genişletilebilir Netflow veri çıkış biçimidir.Örneğin:: Multicase Netflow, MPLS Aware Netflow, BGP Next Hop V9, IPv6 için Netflow vb.
2003 yılında, Netflow V9 da IETF tarafından beş adaydan IPFIX (IP Akış Bilgi İhracatı) standardı olarak seçildi.
IPFIX (Ağ Trafiği İzleme)
Akış tabanlı teknoloji, ağ alanında yaygın olarak kullanılmaktadır ve QoS politikası belirlemesinde, uygulama dağıtımında ve kapasite planlamasında büyük bir değere sahiptir.Ağ yöneticileri çıkış veri akışları için standart bir biçime sahip değillerIPFIX (IP Akış Bilgisi İhracatı, IP veri akışı bilgi çıkışı) IETF tarafından yayınlanan ağlarda akış bilgisini ölçmek için standart bir protokoldür.
IPFIX tarafından tanımlanan biçim, IP veri akışlarının istatistik ve çıkış standartlarını standartlaştıran Cisco Netflow V9 veri çıkış biçimine dayanmaktadır.Bu, şablon tabanlı bir formatta veri akışı özelliklerini ve çıkış verilerini analiz etmek için bir protokol.Trafik izleme gereksinimleri değişirse,Ağ yöneticileri, ağ cihazı yazılımını veya yönetim araçlarını yükseltmeden ilgili yapılandırmaları değiştirebilirAğ yöneticileri bu ağ cihazlarında depolanan önemli trafik istatistiklerini kolayca çıkarabilir ve görebilirler.
Daha eksiksiz bir çıkış için IPFIX, pay başına ağ trafiğini temsil etmek için varsayılan olarak ağ cihazlarının yedi ana alanını kullanır:
1. Kaynak IP adresi
2. Hedef IP adresi
3. TCP/UDP kaynak portu
4. TCP/UDP hedef portu
5Katman 3 protokol tipi.
6. Hizmet Türü (Hizmet Türü) bayt
7Mantıklı bir arayüz girin.
Farklı IP paketlerindeki tüm yedi anahtar alanı eşleştiğinde, IP paketleri aynı trafiğe ait olarak kabul edilir.Trafik süresi ve ortalama paket uzunluğu gibi, mevcut ağ uygulaması hakkında bilgi edinebilir, ağı optimize edebilir, güvenliğini tespit edebilir ve trafiği şarj edebilirsiniz.
IPFIX ağ mimarisi
Özetlemek gerekirse, IPFIX akış kavramına dayanır. Akış aynı alt arabirimden gelen paketleri aynı kaynak ve hedef IP adresine, protokol türüne,Kaynak ve varış limanı numarasıIPFIX, zaman damgası, paket sayısı ve toplam bayt sayısı da dahil olmak üzere akışla ilgili istatistikleri kaydeder. IPFIX üç cihazdan oluşur:İhracatçıÜç cihaz arasındaki ilişkiler şöyle:
İhracat, ağ akışlarını analiz eder, nitelikli akış istatistiklerini çıkarır ve istatistikleri Toplayıcıya gönderir.
Toplayıcı, Dışarıya aktarma veri paketlerini analiz eder ve Analizci tarafından analiz için veri tabanında istatistik toplar.
Analizci, Toplayıcı'dan istatistikler çıkarır, daha sonra işleme alır ve istatistikleri çeşitli hizmetler için GUI olarak gösterir.
IPFIX uygulama senaryoları
Kullanıma dayalı muhasebe
Ağ operatörlerinde trafik faturalandırılması genellikle her kullanıcının yükleme ve indirme trafiğine dayanır. IPFIX, hedef IP adresi, protokol portu ve diğer alanlara doğru olabildiği için,Gelecekteki trafik ücretleri, uygulama hizmetinin özelliklerine göre segmentlenebilir. Tabii ki, protokol ayrıca IPFIX paket istatistiklerinin "örneklendiğini" açıklar. Birçok uygulamada (örneğin omurilik katmanı), veri akışı istatistikleri ne kadar ayrıntılı olursa, o kadar iyidir.Ağ cihazlarının performansı nedeniyle, örnekleme oranı çok küçük olamaz, bu nedenle tamamen doğru ve güvenilir trafik faturalandırılması gerekli değildir.Faturalandırma birimi genellikle 100 megabit'ten fazla, ve IPFIX'in örnekleme doğruluğu ilgili ihtiyaçları karşılayabilir.
Trafik Profili, Trafik Mühendisliği
IPFIX Exporter'ın kayıt çıkışı, IPFIX Collector'ın çok zengin Trafik kayıt bilgilerini çeşitli grafikler şeklinde çıkarabilmesi, Trafik Profili konseptidir.
Bununla birlikte, sadece bilgi kaydı, IPFIX'in güçlü işlevinden yararlanamaz, IETF Trafik Mühendisliği kavramını da başlattı:sıklıkla planlanan yük dengeleme ve gereksiz yedekleme, ancak çeşitli protokoller genellikle ağ planlamasının önceden belirlenmiş rotasına göre veya protokol ilkeleri ayarlanır.IPFIX, ağdaki trafiği izlemek için kullanılırsa ve belirli bir süre içinde büyük miktarda veri bulunursa, ağ yöneticisine trafiği ayarlaması için bildirilebilir, böylece eşit olmayan yükü azaltmak için ilgili uygulamalara daha fazla ağ bant genişliği tahsis edilebilir.yapılandırma kurallarını bağlayabilirsiniz, örneğin rota ayarlaması, bant genişliği tahsisatı ve güvenlik politikaları, IPFIX Collector'daki işlemlere otomatik olarak ağ trafiğini ayarlamak için.
Saldırı/İçeri Giriş Bulma Saldırı/İçeri Giriş Bulma
IPFIX, trafik özelliklerine göre ağ saldırılarını tespit edebilir. Örneğin tipik IP taraması, port taraması, DDOS saldırıları.Örnekleme standardı IPFIX protokolü, en son ağ saldırılarını engellemek için "imza veritabanı" yükseltmesini de kullanabilir, tıpkı genel ev sahibi tarafı virüs koruması gibi.
QoS İzleme (Hizmetin Ağ Kalitesi İzleme)
Tipik QoS parametreleri şunlardır:
Paket kaybı durumu: kaybı [RFC2680]
Tek yönlü gecikme: Tek yönlü gecikme [RFC2679]
Dönüş gecikmesi: Dönüş gecikmesi [RFC2681]
Gecikme değişimi [RFC3393]
Önceki teknolojiler, yukarıdaki bilgileri gerçek zamanlı olarak izlemek zordur, ancak IPFIX'in çeşitli özel alanları ve izleme aralıkları, çeşitli mesajların yukarıdaki değerlerini kolayca izleyebilir.
NetFlow ve IPFIX arasındaki farklılıklar hakkında daha fazla ayrıntı sağlayan genişletilmiş bir tablo:
