Netflow (Πρωτόκολλο ανίχνευσης ροής δεδομένων δικτύου)
Με την αναβάθμιση του συστήματος λογισμικού και την ωριμότητα του προγράμματος επισκευής ευπάθειας, ο τρόπος επίθεσης ιού που εισβάλλει απευθείας στον ξενιστή για ζημιά μειώνεται σταδιακά,και μετά στρέφεται σε κακόβουλη κατανάλωση περιορισμένων πόρων δικτύου, προκαλώντας συμφόρηση του δικτύου, καταστρέφοντας έτσι την ικανότητα του συστήματος να παρέχει εξωτερικές υπηρεσίες.η βιομηχανία έχει προτείνει μια μέθοδο ανίχνευσης δεδομένων δικτύου ροής για να κρίνει τις ανωμαλίες και τις επιθέσεις δικτύουΑνιχνεύοντας πληροφορίες ροής δεδομένων δικτύου σε πραγματικό χρόνο,Οι διαχειριστές δικτύου μπορούν να ελέγξουν την κατάσταση ολόκληρου του δικτύου σε πραγματικό χρόνο, αντιστοιχίζοντας το ιστορικό πρότυπο (για να κρίνουν αν είναι φυσιολογικό) ή το μη φυσιολογικό πρότυπο (για να κρίνουν αν είναι επιτιθέμενο). Ανιχνεύουν πιθανά προβλήματα στην απόδοση του δικτύου και χειρίζονται αυτόματα ή εμφανίζουν συναγερμό για να εξασφαλίσουν αποτελεσματική και αξιόπιστη λειτουργία του δικτύου.
Η τεχνολογία Netflow εφευρέθηκε για πρώτη φορά από τον Darren Kerr και τον Barry Bruins της Cisco το 1996 και καταχωρίστηκε ως δίπλωμα ευρεσιτεχνίας των ΗΠΑ τον Μάιο του ίδιου έτους.Η τεχνολογία Netflow χρησιμοποιείται για πρώτη φορά σε εξοπλισμό δικτύου για την επιτάχυνση της ανταλλαγής δεδομένωνΜετά από χρόνια τεχνολογικής εξέλιξης, η τεχνολογία αυτή είναι πλέον σε θέση να πραγματοποιήσει μετρήσεις και στατιστικές της ροής δεδομένων IP υψηλής ταχύτητας.Η αρχική λειτουργία του Netflow για επιτάχυνση ανταλλαγής δεδομένων έχει σταδιακά αντικατασταθεί από ειδικά τσιπ ASIC σε συσκευές δικτύουΤο σύστημα αυτό έχει καταστεί το πιο αναγνωρισμένο βιομηχανικό πρότυπο για την ανάλυση της κυκλοφορίας IP/MPLS.στατιστικά στοιχεία και τιμολόγηση στον τομέα του ΔιαδικτύουΗ τεχνολογία Netflow μπορεί να αναλύσει και να μετρήσει το λεπτομερές πρότυπο συμπεριφοράς της κυκλοφορίας δικτύου IP/MPLS και να παρέχει λεπτομερή στατιστικά στοιχεία της λειτουργίας του δικτύου.
Το σύστημα καθαρής ροής αποτελείται από τρία κύρια μέρη: τον εξαγωγέα, τον συλλέκτη και το σύστημα αναφοράς ανάλυσης.
Εξαγωγέας: παρακολουθεί δεδομένα δικτύου
Συλλέκτης: Χρησιμοποιείται για τη συλλογή δεδομένων δικτύου που εξάγονται από τον εξαγωγέα
Ανάλυση: Χρησιμοποιείται για την ανάλυση των δεδομένων δικτύου που συλλέγονται από τον συλλέκτη και τη δημιουργία εκθέσεων
Με την ανάλυση των πληροφοριών που συλλέγονται από το Netflow, οι διαχειριστές δικτύου μπορούν να γνωρίζουν την πηγή, τον προορισμό, τον τύπο υπηρεσίας δικτύου των πακέτων και την αιτία της συμφόρησης του δικτύου.Μπορεί να μην παρέχει ένα πλήρες αρχείο της κυκλοφορίας του δικτύου όπως το tcpdump., αλλά όταν είναι συνδυασμένο είναι πολύ ευκολότερο να διαχειριστεί και να διαβάσει.
Η έξοδος δεδομένων δικτύου NetFlow από δρομολογητές και διακόπτες αποτελείται από λήξη ροών δεδομένων και λεπτομερή στατιστικά στοιχεία κίνησης.Αυτές οι ροές δεδομένων περιέχουν τη διεύθυνση IP που συνδέεται με την πηγή και τον προορισμό του πακέτου, καθώς και το πρωτόκολλο και την θύρα που χρησιμοποιούνται από την ενδιάμεση συνεδρίαση.αριθμοί διεπαφών εισόδου και εξόδου, διεύθυνση IP επόμενου hop, συνολικός αριθμός bytes στη ροή, αριθμός πακέτων στη ροή, και χρονικές σφραγίδες του πρώτου και του τελευταίου πακέτου στη ροή. και μπροστινή μάσκα, αριθμός πακέτου, κλπ.
Το Netflow V9 είναι ένα νέο ευέλικτο και επεκτάσιμο μορφότυπο εξόδου δεδομένων Netflow με έξοδο στατιστικών με βάση το πρότυπο.όπως: Multicase Netflow, MPLS Aware Netflow, BGP Next Hop V9, Netflow για IPv6, και ούτω καθεξής.
Το 2003, το Netflow V9 επιλέχθηκε επίσης ως πρότυπο IPFIX (IP Flow Information Export) από το IETF από πέντε υποψηφίους.
IPFIX (Παρακολούθηση της κυκλοφορίας δικτύου)
Η τεχνολογία που βασίζεται στη ροή χρησιμοποιείται ευρέως στον τομέα των δικτύων, έχει μεγάλη αξία στον καθορισμό πολιτικής QoS, την ανάπτυξη εφαρμογών και τον σχεδιασμό της ικανότητας.Οι διαχειριστές δικτύου δεν διαθέτουν μια τυποποιημένη μορφή για ροές δεδομένων εξόδουΤο IPFIX (IP Flow Information Export, IP data flow information output) είναι ένα τυποποιημένο πρωτόκολλο για τη μέτρηση των πληροφοριών ροής σε δίκτυα που δημοσιεύεται από το IETF.
Η μορφή που ορίζεται από το IPFIX βασίζεται στη μορφή εξόδου δεδομένων Cisco Netflow V9, η οποία τυποποιεί τα στατιστικά και τα πρότυπα εξόδου των ροών δεδομένων IP.Είναι ένα πρωτόκολλο για την ανάλυση των χαρακτηριστικών ροής δεδομένων και των δεδομένων εξόδου σε μορφή που βασίζεται σε πρότυποΕπομένως, έχει ισχυρή επεκτασιμότητα.Οι διαχειριστές δικτύου μπορούν να τροποποιήσουν τις αντίστοιχες ρυθμίσεις χωρίς αναβάθμιση του λογισμικού συσκευής δικτύου ή των εργαλείων διαχείρισηςΟι διαχειριστές δικτύου μπορούν εύκολα να εξάγουν και να προβάλλουν σημαντικά στατιστικά στοιχεία κίνησης που αποθηκεύονται σε αυτές τις συσκευές δικτύου.
Για μια πιο πλήρη έκδοση, το IPFIX χρησιμοποιεί επτά βασικούς τομείς συσκευών δικτύου ως προεπιλογή για την αναπαράσταση της κυκλοφορίας δικτύου ανά μετοχή:
1. Η διεύθυνση IP της πηγής
2. Διεύθυνση IP προορισμού
3. TCP/UDP πηγή θύρα
4. TCP/UDP λιμάνι προορισμού
5Τύπος πρωτοκόλλου στρώσης 3
6. Τύπος υπηρεσίας (Τύπος υπηρεσίας) byte
7Εισάγετε μια λογική διεπαφή.
Εάν όλα τα επτά βασικά πεδία σε διαφορετικά πακέτα IP ταιριάζουν, τα πακέτα IP θεωρούνται ότι ανήκουν στην ίδια κίνηση.όπως η διάρκεια της κίνησης και το μέσο μήκος πακέτου, μπορείτε να μάθετε για την τρέχουσα εφαρμογή δικτύου, να βελτιστοποιήσετε το δίκτυο, να εντοπίσετε την ασφάλεια και να χρεώσετε την κίνηση.
Αρχιτεκτονική δικτύου IPFIX
Για να συνοψίσουμε, το IPFIX βασίζεται στην έννοια της ροής.αριθμός λιμένα προέλευσης και προορισμούΤο IPFIX καταγράφει στατιστικά στοιχεία σχετικά με τη ροή, συμπεριλαμβανομένης της χρονικής σφραγίδας, του αριθμού των πακέτων και του συνολικού αριθμού bytes.ΕξαγωγέαςΟι σχέσεις μεταξύ των τριών συσκευών είναι οι εξής:
Η εξαγωγή αναλύει τις ροές του δικτύου, αντλεί εξειδικευμένα στατιστικά στοιχεία ροής και αποστέλλει τα στατιστικά στοιχεία στον συλλέκτη.
Ο συλλέκτης αναλύει τα πακέτα δεδομένων εξαγωγής και συλλέγει στατιστικά στοιχεία στη βάση δεδομένων για ανάλυση από τον αναλυτή.
Ο Αναλυτής εξάγει στατιστικά στοιχεία από τον Συλλέκτη, εκτελεί επακόλουθη επεξεργασία και εμφανίζει τα στατιστικά στοιχεία ως GUI για διάφορες υπηρεσίες.
Σενάρια εφαρμογής IPFIX
Λογιστική με βάση τη χρήση
Η χρέωση κίνησης στους φορείς εκμετάλλευσης δικτύου βασίζεται γενικά στην κίνηση φόρτωσης και λήψης κάθε χρήστη.η μελλοντική χρέωση κυκλοφορίας μπορεί να διαχωριστεί ανάλογα με τα χαρακτηριστικά της υπηρεσίας εφαρμογήςΦυσικά, το πρωτόκολλο εξηγεί επίσης ότι τα στατιστικά πακέτων IPFIX "αποδεικνύονται". Σε πολλές εφαρμογές (όπως το στρώμα της ραχοκοκαλιάς), όσο πιο λεπτομερή είναι η στατιστική ροής δεδομένων, τόσο καλύτερα.Λόγω της απόδοσης των συσκευών δικτύου, το ποσοστό δειγματοληψίας δεν μπορεί να είναι πολύ μικρό, οπότε δεν είναι απαραίτητο να παρέχεται πλήρως ακριβής και αξιόπιστη χρέωση κυκλοφορίας.η μονάδα χρέωσης είναι γενικά άνω των 100 megabits, και η ακρίβεια δειγματοληψίας του IPFIX μπορεί να καλύψει τις σχετικές ανάγκες.
Προφίλ κυκλοφορίας, μηχανική κυκλοφορίας
Η έξοδος εγγραφών του IPFIX Exporter, IPFIX Collector μπορεί να παράγει πολύ πλούσιες πληροφορίες εγγραφών κυκλοφορίας με τη μορφή διαφόρων διαγραμμάτων, αυτή είναι η έννοια του προφίλ κυκλοφορίας.
Ωστόσο, μόνο η καταγραφή των πληροφοριών, δεν μπορεί να επωφεληθεί από την ισχυρή λειτουργία του IPFIX, το IETF επίσης ξεκίνησε την έννοια της Μηχανικής Εμπορίου: στην πραγματική λειτουργία του δικτύου,συχνά προγραμματισμένη εξισορρόπηση φορτίου και περιττό backup, αλλά τα διάφορα πρωτόκολλα είναι γενικά σύμφωνα με την προκαθορισμένη διαδρομή του σχεδιασμού του δικτύου, ή προσαρμόζονται οι αρχές του πρωτοκόλλου.Εάν το IPFIX χρησιμοποιείται για την παρακολούθηση της κυκλοφορίας στο δίκτυο και εντοπίζεται μεγάλη ποσότητα δεδομένων σε ορισμένο χρονικό διάστημα, ο διαχειριστής δικτύου μπορεί να ενημερωθεί για την προσαρμογή της κυκλοφορίας, έτσι ώστε να μπορεί να κατανεμηθεί περισσότερο εύρος ζώνης δικτύου σε σχετικές εφαρμογές για τη μείωση του άνιμου φορτίου.Μπορείτε να δεσμεύσετε κανόνες διαμόρφωσης, όπως η προσαρμογή της διαδρομής, η κατανομή του εύρους ζώνης και οι πολιτικές ασφαλείας, στις λειτουργίες στον συλλέκτη IPFIX για την αυτόματη προσαρμογή της κυκλοφορίας δικτύου.
Ανίχνευση επίθεσης/εισβολίας
Το IPFIX μπορεί να ανιχνεύσει επιθέσεις δικτύου με βάση τα χαρακτηριστικά της κυκλοφορίας.Το πρότυπο δειγματοληψίας IPFIX πρωτόκολλο μπορεί επίσης να χρησιμοποιήσει μια αναβάθμιση της "βάσης δεδομένων υπογραφής" για να αποκλείσει τις τελευταίες επιθέσεις δικτύου, όπως ακριβώς και η γενική προστασία από τον ιό από την πλευρά του ξενιστή.
Παρακολούθηση QoS (Παρακολούθηση ποιότητας υπηρεσιών δικτύου)
Τυπικές παραμέτρους QoS είναι:
Συνθήκη απώλειας πακέτου: απώλεια [RFC2680]
Μονόδρομος καθυστέρηση: Μονόδρομος καθυστέρηση [RFC2679]
καθυστέρηση επιστροφής: καθυστέρηση επιστροφής [RFC2681]
Αλλαγή καθυστέρησης [RFC3393]
Οι προηγούμενες τεχνολογίες είναι δύσκολες για την παρακολούθηση των ανωτέρω πληροφοριών σε πραγματικό χρόνο, αλλά τα διάφορα πεδία προσαρμοσμένων IPFIX και τα διαστήματα παρακολούθησης μπορούν εύκολα να παρακολουθήσουν τις ανωτέρω τιμές διαφόρων μηνυμάτων.
Εδώ είναι ένας διευρυμένος πίνακας που παρέχει περισσότερες λεπτομέρειες σχετικά με τις διαφορές μεταξύ NetFlow και IPFIX:
