Netflow (protocollo di rilevamento del flusso di dati di rete)
Con l'aggiornamento del sistema software e la maturità dello schema di riparazione delle vulnerabilità, la modalità di attacco del virus che invade direttamente l'host per danni viene gradualmente ridotta,e poi si rivolge al consumo malizioso di risorse di rete limitate, causando congestione della rete, distruggendo così la capacità del sistema di fornire servizi esterni.l'industria ha proposto un metodo di rilevamento dei dati di rete Flow per giudicare le anomalie e gli attacchi di rete. rilevando informazioni di flusso di dati di rete in tempo reale,I gestori di rete possono verificare lo stato dell'intera rete in tempo reale confrontando il modello storico (per giudicare se è normale) o il modello anormale (per giudicare se è attaccato). rilevare possibili strozzature nelle prestazioni della rete e gestire automaticamente o visualizzare l'allarme per garantire un funzionamento efficiente e affidabile della rete.
La tecnologia Netflow è stata inventata per la prima volta da Darren Kerr e Barry Bruins di Cisco nel 1996 e registrata come brevetto statunitense nel maggio dello stesso anno.La tecnologia Netflow è utilizzata per la prima volta nelle apparecchiature di rete per accelerare lo scambio di dati, e può realizzare la misurazione e le statistiche del flusso di dati IP inoltrati ad alta velocità.la funzione originale di Netflow per l'accelerazione dello scambio di dati è stata gradualmente sostituita da chip ASIC dedicati nei dispositivi di rete, pur mantenendo la funzione di misurazione e statistica del flusso di dati IP attraverso i dispositivi di rete.statistiche e fatturazione nel settore InternetLa tecnologia Netflow è in grado di analizzare e misurare il modello di comportamento dettagliato del traffico di rete IP/MPLS e fornire statistiche dettagliate dell'operatività della rete.
Il sistema Netflow è composto da tre parti principali: l'esportatore, il collettore e il sistema di segnalazione dell'analisi.
Esportatore: monitorizza i dati di rete
Collector: viene utilizzato per raccogliere i dati di rete esportati da Exporter
Analisi: utilizzato per analizzare i dati di rete raccolti dal Collector e generare rapporti
Analizzando le informazioni raccolte da Netflow, gli amministratori di rete possono conoscere la fonte, la destinazione, il tipo di servizio di rete dei pacchetti e la causa della congestione della rete.Potrebbe non fornire un registro completo del traffico di rete come fa tcpdump, ma una volta messo insieme è molto più facile da gestire e da leggere.
L'output di dati di rete NetFlow da router e switch consiste in flussi di dati scaduti e statistiche dettagliate del traffico.Questi flussi di dati contengono l'indirizzo IP associato all'origine e alla destinazione del pacchetto, nonché il protocollo e la porta utilizzati dalla sessione end-to-end. Le statistiche sul traffico comprendono il timestamp del flusso di dati, gli indirizzi IP di origine e destinazione, i numeri di porta di origine e destinazione,Numeri di interfaccia di input e output, indirizzi IP del prossimo hop, byte totali nel flusso, numero di pacchetti nel flusso e timestamp del primo e dell'ultimo pacchetto nel flusso. e maschera frontale, numero di pacchetti, ecc.
Netflow V9 è un nuovo formato di output di dati Netflow flessibile ed estensibile con output di statistiche basate su modelli.come:: Multicase Netflow, MPLS Aware Netflow, BGP Next Hop V9, Netflow per IPv6 e così via.
Nel 2003, Netflow V9 è stato anche selezionato come standard IPFIX (IP Flow Information Export) dall'IETF da cinque candidati.
IPFIX (Monitoraggio del traffico di rete)
La tecnologia basata sul flusso è ampiamente utilizzata nel campo della rete, ha un grande valore nella definizione delle politiche QoS, nella distribuzione delle applicazioni e nella pianificazione della capacità.gli amministratori di rete non hanno un formato standard per i flussi di dati di uscita. IPFIX (IP Flow Information Export, IP data flow information output) è un protocollo standard per la misurazione delle informazioni di flusso nelle reti pubblicato dall'IETF.
Il formato definito da IPFIX si basa sul formato di output dei dati Cisco Netflow V9, che standardizza le statistiche e gli standard di output dei flussi di dati IP.È un protocollo per l'analisi delle caratteristiche del flusso di dati e dei dati di output in un formato basato su un modelloSe i requisiti per il monitoraggio del traffico cambiano, il sistema di monitoraggio del traffico può essere utilizzato per il monitoraggio del traffico.gli amministratori di rete possono modificare le configurazioni corrispondenti senza aggiornare il software del dispositivo di rete o gli strumenti di gestioneGli amministratori di rete possono facilmente estrarre e visualizzare importanti statistiche sul traffico memorizzate in questi dispositivi di rete.
Per un'uscita più completa, IPFIX utilizza per impostazione predefinita sette domini chiave di dispositivi di rete per rappresentare il traffico di rete per azione:
1. Indirizzo IP della fonte
2. Indirizzo IP di destinazione
3. Porta sorgente TCP/UDP
4. porta di destinazione TCP/UDP
5Tipo di protocollo di livello 3
6. Il tipo di servizio (Type of service) byte
7. Inserisci un' interfaccia logica
Se tutti i sette domini chiave in pacchetti IP diversi corrispondono, i pacchetti IP sono considerati appartenenti allo stesso traffico.come la durata del traffico e la lunghezza media del pacchetto, è possibile conoscere l'applicazione di rete corrente, ottimizzare la rete, rilevare la sicurezza, e caricare il traffico.
Architettura di rete IPFIX
Per riassumere, IPFIX si basa sul concetto di Flow. Un Flow si riferisce a pacchetti provenienti dalla stessa subinterfaccia con lo stesso indirizzo IP di origine e destinazione, tipo di protocollo,numero del porto di origine e di destinazione, e ToS. I pacchetti sono di solito 5-tuple. IPFIX registra statistiche sul flusso, tra cui il timestamp, il numero di pacchetti e il numero totale di byte. IPFIX consiste di tre dispositivi:EsportatoreLe relazioni tra i tre dispositivi sono le seguenti:
L'esportazione analizza i flussi di rete, estrae statistiche qualificate dei flussi e invia le statistiche a Collector.
Il Collector analizza i pacchetti di dati di esportazione e raccoglie le statistiche nel database per l'analisi da parte dell'Analyzer.
L'analizzatore estrae le statistiche dal Collector, esegue l'elaborazione successiva e visualizza le statistiche come GUI per vari servizi.
Scenari di applicazione IPFIX
Contabilità basata sull'uso
La fatturazione del traffico negli operatori di rete è generalmente basata sul traffico di caricamento e download di ciascun utente.la futura tariffazione del traffico può essere segmentata in base alle caratteristiche del servizio applicativoNaturalmente, il protocollo spiega anche che le statistiche dei pacchetti IPFIX sono "samplate". In molte applicazioni (come il livello di spina dorsale), più dettagliate sono le statistiche del flusso di dati, meglio è.A causa delle prestazioni dei dispositivi di rete, il tasso di campionamento non può essere troppo basso, quindi non è necessario fornire una fatturazione del traffico completamente accurata e affidabile.l'unità di fatturazione è generalmente superiore a 100 megabit, e la precisione di campionamento di IPFIX può soddisfare le esigenze pertinenti.
Profilazione del traffico, ingegneria del traffico
L'output dei record di IPFIX Exporter, IPFIX Collector può produrre informazioni molto ricche di record di traffico sotto forma di vari grafici, questo è il concetto di Traffic Profiling.
Tuttavia, solo la registrazione delle informazioni, non può sfruttare la potente funzione di IPFIX, IETF ha anche lanciato il concetto di Traffic Engineering: nel funzionamento effettivo della rete,bilanciamento del carico spesso pianificato e backup ridondante, ma i vari protocolli sono generalmente secondo il percorso predeterminato della pianificazione della rete, o i principi del protocollo sono adattati.Se IPFIX viene utilizzato per monitorare il traffico sulla rete e viene trovata una grande quantità di dati in un determinato periodo di tempo, l'amministratore di rete può essere informato di regolare il traffico, in modo che più larghezza di banda di rete possa essere assegnata alle applicazioni correlate per ridurre il carico irregolare.puoi legare le regole di configurazione, come l'adeguamento del percorso, l'assegnazione della larghezza di banda e le politiche di sicurezza, alle operazioni sul Collector IPFIX per regolare automaticamente il traffico di rete.
Attacco/rilevamento di intrusioni
IPFIX è in grado di rilevare gli attacchi di rete in base alle caratteristiche del traffico.Il protocollo IPFIX standard di campionamento può anche utilizzare un aggiornamento del "database di firme" per bloccare gli ultimi attacchi di rete, proprio come la protezione generale contro i virus del lato ospite.
Monitoraggio QoS (Monitoraggio della qualità del servizio della rete)
I parametri tipici di QoS sono:
Condizione di perdita del pacchetto: perdita [RFC2680]
L'intervallo di tempo di prova è indicato nella tabella di calcolo.
ritardo di andata e ritorno: ritardo di andata e ritorno [RFC2681]
variazione di ritardo [RFC3393]
Le tecnologie precedenti sono difficili da monitorare in tempo reale le informazioni di cui sopra, ma i vari campi personalizzati e gli intervalli di monitoraggio di IPFIX possono facilmente monitorare i valori di cui sopra di vari messaggi.
Ecco una tabella ampliata che fornisce maggiori dettagli sulle differenze tra NetFlow e IPFIX:
