Netflow (Network Data Flow Detection Protocol)
Met de software-upgrade en de volwassenheid van het kwetsbaarheidsreparatieprogramma, wordt de virus-aanvalmodus die rechtstreeks de host binnendringt voor schade geleidelijk verminderd,En dan gaat hij naar kwaadwillende consumptie van beperkte netwerkbronnen., waardoor het netwerk overbelast raakt, waardoor het vermogen van het systeem om externe diensten te leveren wordt vernietigd.De industrie heeft een methode voorgesteld om netwerkgegevens te detecteren om netwerkanomalieën en -aanvallen te beoordelenDoor het detecteren van netwerk data flow informatie in real time,netwerkbeheerders kunnen de status van het hele netwerk in realtime controleren door het historische patroon (om te beoordelen of het normaal is) of het abnormale patroon (om te beoordelen of het wordt aangevallen) te matchen. Mogelijke knelpunten in de netwerkprestaties detecteren, en automatisch alarmbesturen of alarmbesturen om een efficiënte en betrouwbare netwerkoperatie te garanderen.
Netflow-technologie werd voor het eerst uitgevonden door Darren Kerr en Barry Bruins van Cisco in 1996 en in mei van datzelfde jaar geregistreerd als een Amerikaans octrooi.Netflow-technologie wordt voor het eerst gebruikt in netwerkapparatuur om de gegevensuitwisseling te versnellen, en kan de meting en statistieken van de hoge snelheid doorgestuurd IP-gegevensstroom realiseren.De oorspronkelijke functie van Netflow voor data-uitwisseling versnelling is geleidelijk vervangen door speciale ASIC-chips in netwerkapparatenHet is de meest erkende industriestandaard voor IP/MPLS-verkeersanalyse geworden.statistieken en facturering op het gebied van internetNetflow-technologie kan het gedetailleerde gedragspatroon van IP/MPLS-netwerkverkeer analyseren en meten en gedetailleerde statistieken van de netwerkoperatie verstrekken.
Het Netflow-systeem bestaat uit drie hoofdonderdelen: de Exporteur, de Verzamelaar en het Analysis-rapportsystem.
Exporteur: bewaakt netwerkgegevens
Verzamelaar: wordt gebruikt voor het verzamelen van netwerkgegevens die worden geëxporteerd van Exporter
Analyse: wordt gebruikt voor het analyseren van de netwerkgegevens die zijn verzameld bij de verzamelaar en voor het genereren van rapporten
Door de door Netflow verzamelde informatie te analyseren, kunnen netwerkadministratoren de bron, bestemming, netwerkdiensttype van de pakketten en de oorzaak van netwerkcongestie weten.Het kan niet een volledig record van het netwerkverkeer zoals tcpdump biedt, maar wanneer het samen is, is het veel gemakkelijker te beheren en te lezen.
NetFlow-netwerkgegevensuitvoer van routers en switches bestaat uit verlopen gegevensstromen en gedetailleerde verkeersstatistieken.Deze gegevensstromen bevatten het IP-adres dat is gekoppeld aan de bron en bestemming van het pakketDe verkeersstatistieken omvatten de tijdstempel van de gegevensstroom, IP-adressen van bron en bestemming, bron- en bestemmingsportnummers,Invoer- en uitvoerinterface nummers, volgende hop IP-adressen, totale bytes in de stroom, aantal pakketten in de stroom, en tijdstempels van de eerste en laatste pakketten in de stroom.
Netflow V9 is een nieuw flexibel en uitbreidbaar Netflow-gegevensuitvoerformaat met op sjablonen gebaseerde statistiekenuitvoer.zoals:: Multicase Netflow, MPLS Aware Netflow, BGP Next Hop V9, Netflow voor IPv6 enzovoort.
In 2003 werd Netflow V9 ook geselecteerd als de IPFIX-standaard (IP Flow Information Export) door de IETF uit vijf kandidaten.
IPFIX (Netwerkverkeersbewaking)
Flow-gebaseerde technologie wordt veel gebruikt op het gebied van netwerken, het heeft een grote waarde in de QoS-beleidstelling, de implementatie van applicaties en capaciteitsplanning.Netwerkadministrators hebben geen standaardformaat voor uitgangsdatastromen. IPFIX (IP Flow Information Export, IP data flow information output) is een standaardprotocol voor het meten van stroominformatie in netwerken gepubliceerd door de IETF.
Het door IPFIX gedefinieerde formaat is gebaseerd op het Cisco Netflow V9-gegevensuitvoerformaat, dat de statistieken en uitvoerstandaarden van IP-gegevensstromen standaardiseert.Het is een protocol voor het analyseren van gegevensstroomkenmerken en outputgegevens in een op templates gebaseerd formaat.Als de vereisten voor verkeersbewaking veranderen, is het mogelijk om de gegevens te verzamelen en te analyseren.netwerkbeheerders kunnen de overeenkomstige configuratie aanpassen zonder de software van het netwerkapparaat of de beheertools te upgradenNetwerkadministratoren kunnen gemakkelijk belangrijke verkeersstatistieken die in deze netwerkapparaten zijn opgeslagen, extraheren en bekijken.
Voor een meer volledige output gebruikt IPFIX standaard zeven belangrijke domeinen van netwerkapparaten om netwerkverkeer per aandeel weer te geven:
1. IP-adres van de bron
2. Bestemming IP-adres
3. TCP/UDP bronpoort
4. TCP/UDP-bestemmingspoort
5. Protocoltype van laag 3
6. Het type van dienst (Type of service) byte
7Voer een logische interface in.
Als alle zeven belangrijke domeinen in verschillende IP-pakketten overeenkomen, worden de IP-pakketten geacht tot hetzelfde verkeer te behoren.de duur van het verkeer en de gemiddelde pakketlengte, kun je meer weten over de huidige netwerktoepassing, het netwerk optimaliseren, de beveiliging detecteren en het verkeer opladen.
IPFIX-netwerkarchitectuur
Om samen te vatten, is IPFIX gebaseerd op het concept van Flow. Een Flow verwijst naar pakketten van dezelfde subinterface met hetzelfde bron- en bestemming IP-adres, protocoltype,bron- en bestemmingshavennummerIPFIX registreert statistieken over de stroom, waaronder de tijdstempel, het aantal pakketten en het totale aantal bytes. IPFIX bestaat uit drie apparaten:ExporteurDe relaties tussen de drie apparaten zijn als volgt:
Export analyseert netwerkstroom, haalt gekwalificeerde stroomstatistieken en stuurt de statistieken naar Collector.
De verzamelaar analyseert exportgegevenspakketten en verzamelt statistieken in de database voor analyse door de analysator.
De Analyzer haalt statistieken uit de Collector, verwerkt deze en toont de statistieken als een GUI voor verschillende diensten.
IPFIX-toepassingsscenario's
Gebruikgebaseerde boekhouding
De facturering van het verkeer bij netbeheerders is over het algemeen gebaseerd op het upload- en downloadverkeer van elke gebruiker.de toekomstige vervoersheffing kan worden gesegmenteerd op basis van de kenmerken van de applicatiedienstIn veel toepassingen (zoals de backbone laag), hoe gedetailleerder de gegevensstroomstatistieken zijn, hoe beter.Door de prestaties van netwerkapparatuur, kan het steekproefpercentage niet te klein zijn, zodat het niet nodig is om een volledig nauwkeurige en betrouwbare verkeersfacturering te verstrekken.de factureringsunit is over het algemeen meer dan 100 megabits, en de steekproefnauwkeurigheid van IPFIX kan voldoen aan de relevante behoeften.
Verkeersprofielen, verkeerstechniek
De record output van IPFIX Exporter, IPFIX Collector kan zeer rijke Traffic record informatie in de vorm van verschillende grafieken te produceren, dit is het concept van Traffic Profiling.
De IETF heeft echter ook het concept van Traffic Engineering gelanceerd: in de eigenlijke werking van het netwerk, kan de IETF de krachtige functie van IPFIX niet benutten.vaak geplande belastingbalansering en redundante back-up, maar de verschillende protocollen zijn over het algemeen volgens de vooraf bepaalde route van de netplanning, of protocolprincipes worden aangepast.Indien IPFIX wordt gebruikt om het verkeer op het netwerk te controleren en in een bepaalde periode een grote hoeveelheid gegevens wordt gevonden, kan de netbeheerder worden gevraagd om het verkeer aan te passen, zodat meer netwerkbandbreedte kan worden toegewezen aan aanverwante toepassingen om de ongelijke belasting te verminderen.Je kunt configuratie regels binden, zoals route aanpassing, bandbreedte toewijzing en beveiligingsbeleid, aan de operaties op de IPFIX Collector om het netwerkverkeer automatisch aan te passen.
Aanval/inbraakdetectie Aanval/inbraakdetectie
IPFIX kan netwerkaanvallen detecteren op basis van verkeerskenmerken.Het IPFIX-protocol kan ook een "handtekeningdatabase" -upgrade gebruiken om de nieuwste netwerkaanvallen te blokkeren, net als de algemene gastheerzijde virusbescherming.
QoS-bewaking (Netwerkkwaliteit van de dienstbewaking)
Typische QoS-parameters zijn:
Verlies van pakketten: verlies [RFC2680]
eenrichtingsvertraging: eenrichtvertraging [RFC2679]
De in de bijlage bij Verordening (EG) nr. 45/2001 vermelde gegevens moeten worden verzameld.
Verlaten variatie [RFC3393]
Eerdere technologieën maken het moeilijk om de bovenstaande informatie in realtime te controleren, maar de verschillende aangepaste velden en monitoringintervallen van IPFIX kunnen gemakkelijk de bovenstaande waarden van verschillende berichten controleren.
Hier is een uitgebreide tabel die meer details geeft over de verschillen tussen NetFlow en IPFIX:
