Netflow (Протокол обнаружения потока сетевых данных)
С обновлением системы программного обеспечения и зрелостью схемы исправления уязвимостей, режим атаки вируса, который непосредственно вторгается в хост для повреждения, постепенно уменьшается,и затем переходит к вредоносному потреблению ограниченных сетевых ресурсов, вызывая перегрузку сети, тем самым разрушая способность системы предоставлять внешние услуги.Промышленность предложила метод обнаружения сетевых данных поток для суждения сетевых аномалий и атак. За счет обнаружения информации о потоке сетевых данных в режиме реального времени,Управляющие сетью могут проверять состояние всей сети в режиме реального времени, сопоставляя историческую картину (чтобы судить, является ли она нормальной) или ненормальную картину (чтобы судить, подвергается ли она атаке). обнаруживает возможные узкие места в производительности сети и автоматически обрабатывает или отображает сигналы тревоги для обеспечения эффективной и надежной работы сети.
Технология Netflow была впервые изобретена Дарреном Керром и Барри Брюинсом из Cisco в 1996 году и зарегистрирована в качестве патента США в мае того же года.Технология Netflow впервые используется в сетевом оборудовании для ускорения обмена даннымиПосле многих лет технологической эволюциипервоначальная функция Netflow для ускорения обмена данными постепенно была заменена специальными чипами ASIC в сетевых устройствах, в то время как функция измерения и статистики потока данных IP через сетевые устройства все еще сохраняется.Статистика и выставление счетов в области ИнтернетаТехнология Netflow может анализировать и измерять подробную модель поведения IP/MPLS сетевого трафика и предоставлять подробную статистику работы сети.
Система Netflow состоит из трех основных частей: системы экспортера, коллектора и системы отчетности по анализу.
Экспортер: контролирует сетевые данные
Сборник: используется для сбора сетевых данных, экспортируемых из экспортера
Анализ: используется для анализа сетевых данных, собранных от коллектора, и создания отчетов.
Анализируя информацию, собранную Netflow, сетевые администраторы могут узнать источник, место назначения, тип сетевого сервиса пакетов и причину перегрузки сети.Это может не обеспечить полную запись сетевого трафика, как tcpdump делает, но когда они собраны, их намного легче управлять и читать.
Выход данных сети NetFlow от маршрутизаторов и коммутаторов состоит из истекших потоков данных и подробной статистики трафика.Эти потоки данных содержат IP-адрес, связанный с источником и пунктом назначения пакета, а также протокол и порт, используемые сеансом с конца на конец. Статистика трафика включает в себя временную метку потока данных, исходные и целевые IP-адреса, номера источников и портов назначения,номера интерфейсов ввода и вывода, IP-адреса следующего прыжка, общее количество байтов в потоке, количество пакетов в потоке и временные штампы первого и последнего пакетов в потоке. и передняя маска, номер пакета и т.д.
Netflow V9 - это новый гибкий и расширяемый формат вывода данных Netflow с выводом статистики на основе шаблонов.такие как: Multicase Netflow, MPLS Aware Netflow, BGP Next Hop V9, Netflow для IPv6 и так далее.
В 2003 году Netflow V9 также был выбран IETF из пяти кандидатов в качестве стандарта IPFIX (IP Flow Information Export).
IPFIX (Мониторинг сетевого трафика)
Технология, основанная на потоке, широко используется в области сетей, она имеет большое значение в установлении политики QoS, развертывании приложений и планировании мощностей.Администраторы сети не имеют стандартного формата для потоков данных выводаIPFIX (IP Flow Information Export, IP data flow information output) - стандартный протокол для измерения информации о потоке в сетях, опубликованный IETF.
Формат, определенный IPFIX, основан на формате вывода данных Cisco Netflow V9, который стандартизирует статистику и стандарты вывода потоков данных IP.Это протокол для анализа характеристик потока данных и выводных данных в формате на основе шаблонаПоэтому, он имеет сильную масштабируемость.Администраторы сети могут изменять соответствующие конфигурации без обновления программного обеспечения сетевого устройства или инструментов управленияАдминистраторы сети могут легко извлекать и просматривать важные статистические данные о трафике, хранящиеся в этих сетевых устройствах.
Для более полного вывода IPFIX по умолчанию использует семь ключевых доменов сетевых устройств для представления сетевого трафика на акцию:
1. IP-адрес источника
2. IP адрес назначения
3. TCP/UDP исходный порт
4. TCP/UDP порт назначения
5Тип протокола 3-го уровня
6. Тип службы (Type of service) байт
7. Введите логический интерфейс
Если все семь ключевых доменов в различных IP-пакетах совпадают, IP-пакеты считаются принадлежащими к одному и тому же трафику.например, длительность трафика и средняя длина пакета, вы можете узнать о текущем сетевом приложении, оптимизировать сеть, обнаружить безопасность и зарядить трафик.
IPFIX сетевая архитектура
Подводя итог, IPFIX основан на концепции потока. Поток относится к пакетам с одного и того же подинтерфейса с одним и тем же исходным и целевым IP-адресом, типом протокола,номер порта происхождения и пункта назначенияIPFIX записывает статистические данные о потоке, включая временную метку, количество пакетов и общее количество байтов. IPFIX состоит из трех устройств:ЭкспортерОтношения между тремя устройствами следующие:
Экспорт анализирует сетевые потоки, извлекает квалифицированную статистику потоков и отправляет статистику в Коллектор.
Коллектор анализирует пакеты данных экспорта и собирает статистику в базе данных для анализа Анализатором.
Анализатор извлекает статистику из коллектора, выполняет последующую обработку и отображает статистику в виде графического интерфейса для различных услуг.
Сценарии применения IPFIX
Учет на основе использования
Счет трафика в сетевых операторов, как правило, основывается на загрузке и загрузке трафика каждого пользователя.будущие тарифы на трафик могут быть сегментированы на основе характеристик сервиса приложенийКонечно, протокол также объясняет, что статистика пакетов IPFIX "отбирается". Во многих приложениях (например, в базовом слое), чем более подробна статистика потока данных, тем лучше.Из-за работы сетевых устройств, частота выборки не может быть слишком низкой, поэтому не нужно предоставлять полностью точные и надежные счета за трафик.расчетная единица обычно превышает 100 мегабит, а точность отбора проб IPFIX может удовлетворить соответствующие потребности.
Профилирование дорожного движения, инженерное управление дорожным движением
Выпуск записей IPFIX Exporter, IPFIX Collector может выводить очень богатую информацию о записях трафика в виде различных диаграмм, это концепция профилирования трафика.
Однако, просто запись информации, не может воспользоваться мощной функцией IPFIX, IETF также запустил концепцию Traffic Engineering: в фактической эксплуатации сети,часто планируемое балансирование нагрузки и избыточное резервное обеспечение, но различные протоколы, как правило, соответствуют заранее определенному маршруту планирования сети, или принципы протокола корректируются.Если IPFIX используется для мониторинга трафика в сети и в течение определенного периода времени обнаруживается большое количество данных, администратору сети можно сообщить, чтобы скорректировать трафик, так что больше сетевой пропускной способности может быть выделено связанным приложениям, чтобы уменьшить неравномерную нагрузку.Вы можете связать правила конфигурации, такие как корректировка маршрута, распределение полосы пропускания и политики безопасности, к операциям на IPFIX Collector для автоматической корректировки сетевого трафика.
Выявление атаки/вторжения
IPFIX может обнаруживать сетевые атаки на основе характеристик трафика. Например, типичное сканирование IP, сканирование портов, атаки DDOS.Стандартный протокол IPFIX также может использовать обновление "базы данных подписей" для блокировки последних сетевых атак, как и общая защита от вирусов со стороны хозяина.
Мониторинг QoS (Мониторинг качества обслуживания сети)
Типичными параметрами QoS являются:
Условие потери пакета: потеря [RFC2680]
Односторонняя задержка: Односторонняя задержка [RFC2679]
задержка поезда туда и обратно: задержка поезда туда и обратно [RFC2681]
изменение задержки [RFC3393]
Предыдущие технологии затрудняют мониторинг вышеуказанной информации в режиме реального времени, но различные пользовательские поля и интервалы мониторинга IPFIX могут легко отслеживать вышеуказанные значения различных сообщений.
Вот расширенная таблица, которая предоставляет более подробную информацию о различиях между NetFlow и IPFIX:
