Netflow (Netzwerkprotokoll zur Erkennung des Datenflusses)Mit dem Software-System-Upgrade und der Reife des Schwachstellenreparatur-Systems wird der Virusangriff, der direkt in den Host eindringt, allmählich reduziert.und dann auf bösartigen Verbrauch begrenzter Netzwerkressourcen, was zu Netzwerküberlastungen führt und so die Fähigkeit des Systems, externe Dienste bereitzustellen, zerstört.Die Industrie hat eine Methode zur Erkennung von Netzwerkdaten vorgeschlagen, um Netzwerkanomalien und Angriffe zu beurteilenDurch das Erkennen von Netzwerkdatenflussinformationen in Echtzeit,Netzwerkmanager können den Status des gesamten Netzwerks in Echtzeit überprüfen, indem sie das historische Muster (um zu beurteilen, ob es normal ist) oder das abnormale Muster (um zu beurteilen, ob es angegriffen wird) abwägen. mögliche Engpässe in der Netzwerkleistung erkennen und automatisch Alarm anzeigen, um einen effizienten und zuverlässigen Netzbetrieb zu gewährleisten.
Die Netflow-Technologie wurde erstmals 1996 von Darren Kerr und Barry Bruins von Cisco erfunden und im Mai desselben Jahres als US-Patent registriert.Die Netflow-Technologie wird zunächst in Netzwerkgeräten eingesetzt, um den Datenaustausch zu beschleunigen, und kann die Messung und Statistik des Hochgeschwindigkeits-IP-Weiterleitungsdatenflusses realisieren.Die ursprüngliche Funktion von Netflow für die Datenaustauschbeschleunigung wurde allmählich durch dedizierte ASIC-Chips in Netzwerkgeräten ersetztEs ist zum anerkanntesten Industriestandard für IP/MPLS-Verkehrsanalysen geworden.Statistik und Abrechnung im Bereich InternetDie Netflow-Technologie kann das detaillierte Verhaltensmuster des IP/MPLS-Netzwerkverkehrs analysieren und messen und detaillierte Statistiken über den Netzbetrieb liefern.
Das Netflow-System besteht aus drei Hauptteilen: dem Exporteur, dem Sammler und dem Analyseberichtssystem.
Exporteur: überwacht NetzdatenSammler: Wird verwendet, um Netzwerkdaten zu sammeln, die von Exporteur exportiert werdenAnalyse: Wird zur Analyse der vom Sammler gesammelten Netzwerkdaten und zur Erstellung von Berichten verwendet
Durch die Analyse der von Netflow gesammelten Informationen können Netzwerkadministratoren die Quelle, das Ziel, die Art des Netzwerkdienstes der Pakete und die Ursache der Netzwerküberlastung kennen.Es kann nicht eine vollständige Aufzeichnung des Netzwerkverkehrs wie tcpdump bieten, aber wenn sie zusammengestellt sind, ist sie viel einfacher zu verwalten und zu lesen.
Die NetFlow-Netzwerkdatenausgabe von Routern und Switches besteht aus abgelaufenen Datenströmen und detaillierten Datenverkehrsstatistiken.Diese Datenströme enthalten die IP-Adresse, die der Quelle und dem Ziel des Pakets zugeordnet istDie Datenverkehrsstatistiken umfassen den Zeitstempel des Datenflusses, die IP-Adressen der Quelle und des Ziels, die Nummern der Quelle und des Zielschlitzes,Eingabe- und Ausgabeoberflächennummern, nächste Hop IP-Adressen, Gesamtbyte im Fluss, Anzahl der Pakete im Fluss und Zeitstempel der ersten und letzten Pakete im Fluss. und Frontmaske, Paketnummer, etc.
Netflow V9 ist ein neues flexibles und erweiterbares Netflow-Daten-Ausgabeformat mit vorlagenbasierter Statistik-Ausgabe.Wie zum Beispiel: Multicase Netflow, MPLS Aware Netflow, BGP Next Hop V9, Netflow für IPv6 und so weiter.
Im Jahr 2003 wurde Netflow V9 von der IETF aus fünf Kandidaten auch als IPFIX (IP Flow Information Export) -Standard ausgewählt.
IPFIX (Netzwerkverkehrsüberwachung)Flow-basierte Technologie wird im Netzwerkbereich weit verbreitet, sie hat einen großen Wert bei der Festlegung von Qualitätssicherungsrichtlinien, bei der Bereitstellung von Anwendungen und bei der Kapazitätsplanung.Netzwerkadministratoren fehlt ein Standardformat für Ausgabe-DatenströmeIPFIX (IP Flow Information Export, IP Data Flow Information Output) ist ein Standardprotokoll zur Messung von Datenfluss in Netzwerken, das von der IETF veröffentlicht wird.
Das von IPFIX definierte Format basiert auf dem Cisco Netflow V9-Daten-Ausgabeformat, das die Statistiken und Ausgabestandards von IP-Datenflüssen standardisiert.Es ist ein Protokoll zur Analyse von Datenflussmerkmalen und Ausgabe von Daten in einem vorlagenbasierten FormatWenn sich die Anforderungen an die Verkehrsüberwachung ändern, wird die Datenüberwachung in einem anderen System durchgeführt.Netzwerkadministratoren können die entsprechenden Konfigurationen ändern, ohne die Netzwerkgeräte-Software oder -management-Tools zu aktualisierenNetzwerkadministratoren können wichtige Verkehrsstatistiken, die in diesen Netzwerkgeräten gespeichert sind, leicht extrahieren und anzeigen.
Für eine vollständigere Ausgabe verwendet IPFIX standardmäßig sieben Schlüsselbereiche von Netzwerkgeräten, um den Netzwerkverkehr pro Aktie darzustellen:
1Quelle IP-Adresse2Ziel IP-Adresse3. TCP/UDP-Quellport4. TCP/UDP-Zielport5. Layer 3 Protokolltyp6. Die Art des Dienstes (Typ des Dienstes) byte7Geben Sie eine logische Schnittstelle ein.
Wenn alle sieben Schlüsseldomänen in verschiedenen IP-Paketen übereinstimmen, gelten die IP-Pakete als zum gleichen Datenverkehr gehörend.wie die Traffic-Dauer und die durchschnittliche Paketlänge, können Sie mehr über die aktuelle Netzwerkanwendung erfahren, das Netzwerk optimieren, die Sicherheit erkennen und den Datenverkehr aufladen.
IPFIX-NetzwerkarchitekturZusammenfassend basiert IPFIX auf dem Konzept von Flow. Ein Flow bezieht sich auf Pakete aus derselben Unteroberfläche mit derselben Quelle und Ziel IP-Adresse, Protokolltyp,Ursprungs- und BestimmungshafennummerIPFIX erfasst Statistiken über den Stream, einschließlich des Zeitstempels, der Anzahl der Pakete und der Gesamtzahl der Bytes. IPFIX besteht aus drei Geräten:AusführerDie Beziehungen zwischen den drei Geräten sind wie folgt:
Export analysiert Netzwerkströme, extrahiert qualifizierte Strömungsstatistiken und sendet die Statistiken an Collector.Der Sammler analysiert Exportdatenpakete und sammelt Statistiken in der Datenbank zur Analyse durch den Analysierer.Der Analyzer extrahiert Statistiken aus dem Sammler, führt anschließende Verarbeitung durch und zeigt die Statistiken als GUI für verschiedene Dienste an.
IPFIX-AnwendungsszenarienNutzungsabhängige RechnungslegungDie Rechnungsstellung des Datenverkehrs bei Netzbetreibern basiert im Allgemeinen auf dem Upload- und Download-Datenverkehr jedes Benutzers.Die künftige Verkehrsgebühr kann anhand der Merkmale des Anwendungsdienstes segmentiert werdenNatürlich erklärt das Protokoll auch, dass IPFIX-Paketstatistiken "geprobt" werden. In vielen Anwendungen (z. B. der Backbone-Schicht) ist es umso besser, je detaillierter die Datenflussstatistik ist.Aufgrund der Leistung von Netzwerkgeräten, kann die Stichprobenquote nicht zu gering sein, so dass es nicht notwendig ist, eine vollständig genaue und zuverlässige Verkehrsrechnung bereitzustellen.die Abrechnungseinheit beträgt in der Regel mehr als 100 Megabit, und die Probenerfassungsgenauigkeit von IPFIX kann den entsprechenden Bedürfnissen entsprechen.
Verkehrsprofiling, VerkehrstechnikDie Datenausgabe von IPFIX Exporter, IPFIX Collector kann sehr reiche Daten aus dem Verkehrsregister in Form verschiedener Diagramme erzeugen, dies ist das Konzept des Verkehrsprofiling.
Da jedoch nur die Aufzeichnung von Informationen die leistungsstarke Funktion von IPFIX nicht nutzen kann, hat die IETF auch das Konzept der Verkehrstechnik eingeführt:häufig geplante Lastbilanz und überflüssiges Backup, aber die verschiedenen Protokolle sind in der Regel nach der vorgegebenen Route der Netzplanung oder Protokollprinzipien angepasst.Wenn IPFIX zur Überwachung des Netzverkehrs verwendet wird und in einem bestimmten Zeitraum eine große Datenmenge gefunden wird, kann der Netzwerkadministrator aufgefordert werden, den Datenverkehr anzupassen, so dass mehr Netzwerkbandbreite an verwandte Anwendungen zugewiesen werden kann, um die ungleiche Last zu reduzieren.Sie können Konfigurationsregeln binden, wie z. B. Routenanpassung, Bandbreitenzuweisung und Sicherheitsrichtlinien, an die Operationen auf dem IPFIX-Sammler, um den Netzwerkverkehr automatisch anzupassen.
Angriff/Einbruchserkennung Angriff/EinbruchserkennungIPFIX kann Netzwerkangriffe anhand von Traffic-Eigenschaften erkennen. Zum Beispiel typisches IP-Scannen, Port-Scannen, DDOS-Angriffe.Das Sampling-Standard-IPFIX-Protokoll kann auch ein "Signaturdatenbank" -Upgrade verwenden, um die neuesten Netzwerkanschläge zu blockieren, genau wie der allgemeine Wirts-Seiten-Virus-Schutz.
QoS-Überwachung (Network Quality of Service Monitoring)Typische QoS-Parameter sind:
Zustand des Paketverlustes: Verlust [RFC2680]Einwegverzögerung [RFC2679]Rückfahrverzögerung: Rückfahrverzögerung [RFC2681]Verzögerungsvariation [RFC3393]Vorherige Technologien sind schwierig, die oben genannten Informationen in Echtzeit zu überwachen, aber die verschiedenen benutzerdefinierten Felder und Überwachungsintervalle von IPFIX können die oben genannten Werte verschiedener Nachrichten leicht überwachen.
Hier ist eine erweiterte Tabelle, die mehr Details über die Unterschiede zwischen NetFlow und IPFIX liefert:
