Netflow (protocolo de detecção de fluxo de dados de rede)Com a atualização do sistema de software e a maturidade do esquema de reparação de vulnerabilidades, o modo de ataque de vírus que invade diretamente o host para danos é gradualmente reduzido,e depois se volta para o consumo malicioso de recursos de rede limitados, causando congestionamento da rede, destruindo assim a capacidade do sistema de fornecer serviços externos.A indústria propôs um método de detecção de dados de rede Fluxo para julgar anomalias de rede e ataquesAo detectar informações de fluxo de dados da rede em tempo real,Os gestores de rede podem verificar o estado de toda a rede em tempo real, combinando o padrão histórico (para julgar se é normal) ou o padrão anormal (para julgar se está sendo atacado). Detectar possíveis gargalos no desempenho da rede e controlar automaticamente ou exibir alarmes para garantir uma operação de rede eficiente e fiável.
A tecnologia Netflow foi inventada pela primeira vez por Darren Kerr e Barry Bruins da Cisco em 1996 e registrada como uma patente dos EUA em maio do mesmo ano.A tecnologia Netflow é utilizada pela primeira vez em equipamentos de rede para acelerar o intercâmbio de dados, e pode realizar a medição e estatísticas do fluxo de dados IP redirecionados de alta velocidade.A função original do Netflow para aceleração de troca de dados foi gradualmente substituída por chips ASIC dedicados em dispositivos de redeO sistema de medição de tráfego IP/MPLS, que é o padrão industrial mais reconhecido para a análise de tráfego IP/MPLS, é um sistema de medição de tráfego de dados IP e de estatísticas de tráfego de dados IP através de dispositivos de rede.Estatísticas e faturamento no domínio da InternetA tecnologia Netflow pode analisar e medir o padrão de comportamento detalhado do tráfego de rede IP/MPLS e fornecer estatísticas detalhadas da operação da rede.
O sistema de fluxo líquido consiste em três partes principais: o exportador, o colector e o sistema de reporte de análise.
Exportador: monitora dados de redeColector: Utilizado para recolher dados de rede exportados do ExportadorAnálise: Utilizado para analisar os dados da rede recolhidos do coletor e gerar relatórios
Ao analisar as informações coletadas pelo Netflow, os administradores de rede podem saber a fonte, o destino, o tipo de serviço de rede dos pacotes e a causa do congestionamento da rede.Pode não fornecer um registro completo do tráfego de rede como o tcpdump faz, mas quando montado é muito mais fácil de gerir e ler.
A saída de dados da rede NetFlow dos roteadores e switches consiste em fluxos de dados expirados e estatísticas detalhadas do tráfego.Estes fluxos de dados contêm o endereço IP associado à origem e destino do pacote, bem como o protocolo e a porta utilizados pela sessão de ponta a ponta. As estatísticas de tráfego incluem o carimbo horário do fluxo de dados, os endereços IP de origem e de destino, os números das portas de origem e de destino,Números de interface de entrada e saída, endereços IP do próximo hop, bytes totais no fluxo, número de pacotes no fluxo e carimbos de tempo do primeiro e último pacotes no fluxo. e máscara frontal, número de pacotes, etc.
O Netflow V9 é um novo formato de saída de dados Netflow flexível e extensível com saída de estatísticas baseada em modelo.tais como: Multicase Netflow, MPLS Aware Netflow, BGP Next Hop V9, Netflow para IPv6, e assim por diante.
Em 2003, o Netflow V9 também foi selecionado como o padrão IPFIX (IP Flow Information Export) pela IETF entre cinco candidatos.
IPFIX (Monitoramento do tráfego da rede)A tecnologia baseada em fluxo é amplamente utilizada no campo da rede, e tem um grande valor na definição de políticas de QoS, implantação de aplicações e planeamento de capacidade.os administradores de rede não têm um formato padrão para fluxos de dados de saídaIPFIX (IP Flow Information Export, IP data flow information output) é um protocolo padrão para medição de informações de fluxo em redes publicado pela IETF.
O formato definido pelo IPFIX baseia-se no formato de saída de dados Cisco Netflow V9, que padroniza as estatísticas e os padrões de saída dos fluxos de dados IP.É um protocolo para analisar características de fluxo de dados e dados de saída em um formato baseado em modeloPor conseguinte, tem uma forte escalabilidade.Os administradores de rede podem modificar as configurações correspondentes sem atualizar o software do dispositivo de rede ou as ferramentas de gerenciamentoOs administradores de rede podem facilmente extrair e visualizar estatísticas de tráfego importantes armazenadas nestes dispositivos de rede.
Para uma saída mais completa, o IPFIX usa sete domínios-chave de dispositivos de rede por padrão para representar o tráfego de rede por ação:
1. Endereço IP da fonte2Endereço IP de destino3Portão de origem TCP/UDP4Portão de destino TCP/UDP5Tipo de protocolo de camada 36. O tipo de serviço (Type of service) byte7Introduza uma interface lógica.
Se todos os sete domínios-chave em diferentes pacotes IP corresponderem, os pacotes IP são considerados como pertencentes ao mesmo tráfego.como a duração do tráfego e o comprimento médio do pacote, você pode aprender sobre o aplicativo de rede atual, otimizar a rede, detectar a segurança e cobrar o tráfego.
Arquitetura de rede IPFIXPara resumir, o IPFIX baseia-se no conceito de Flow. Um Flow refere-se a pacotes da mesma subinterface com o mesmo endereço IP de origem e destino, tipo de protocolo,Número do porto de origem e de destinoO IPFIX registra estatísticas sobre o fluxo, incluindo o carimbo horário, o número de pacotes e o número total de bytes.ExportadorAs relações entre os três dispositivos são as seguintes:
Export analisa os fluxos da rede, extrai estatísticas de fluxo qualificadas e envia as estatísticas para o Collector.O coletor analisa os pacotes de dados de exportação e recolhe estatísticas na base de dados para análise pelo analisador.O Analisador extrai estatísticas do Coletor, executa o processamento subsequente e exibe as estatísticas como uma interface gráfica para vários serviços.
Cenários de aplicação do IPFIXContabilidade baseada no usoA faturação do tráfego nos operadores de rede é geralmente baseada no tráfego de upload e download de cada usuário.a futura tarifação do tráfego pode ser segmentada com base nas características do serviço de aplicaçãoÉ claro que o protocolo também explica que as estatísticas de pacotes IPFIX são "amostradas". Em muitas aplicações (como a camada de backbone), quanto mais detalhadas forem as estatísticas de fluxo de dados, melhor.Devido ao desempenho dos dispositivos de rede, a taxa de amostragem não pode ser demasiado pequena, pelo que não é necessário fornecer uma faturação do tráfego completamente precisa e fiável.a unidade de faturamento é geralmente superior a 100 megabits, e a precisão da amostragem do IPFIX pode satisfazer as necessidades relevantes.
Profilagem do tráfego, engenharia do tráfegoO IPFIX Exporter, IPFIX Collector pode produzir informações de registro de tráfego muito ricas na forma de vários gráficos, este é o conceito de Traffic Profiling.
No entanto, apenas o registo de informações, não pode tirar partido da poderosa função do IPFIX, IETF também lançou o conceito de engenharia de tráfego: na operação real da rede,frequentemente planejado equilíbrio de carga e backup redundante, mas os vários protocolos são geralmente de acordo com a rota predeterminada do planeamento da rede, ou os princípios do protocolo são ajustados.Se o IPFIX for utilizado para monitorizar o tráfego na rede e for encontrada uma grande quantidade de dados num determinado período de tempo, o administrador da rede pode ser informado para ajustar o tráfego, de modo que mais largura de banda da rede possa ser alocada a aplicações relacionadas para reduzir a carga desigual.Você pode vincular regras de configuração, como ajuste de rota, alocação de largura de banda e políticas de segurança, às operações no IPFIX Collector para ajustar automaticamente o tráfego de rede.
Detecção de ataque/intrusãoO IPFIX pode detectar ataques de rede com base nas características do tráfego.O protocolo padrão de amostragem IPFIX também pode usar uma atualização de "base de dados de assinatura" para bloquear os últimos ataques de rede, tal como a proteção geral do vírus do lado do hospedeiro.
Monitoramento da Qualidade do Serviço da Rede (QoS)Os parâmetros típicos de QoS são:
Condição de perda de pacotes: perda [RFC2680]A partir de 1 de janeiro de 2017, a Comissão deve apresentar ao Conselho e ao Parlamento Europeu uma proposta de regulamento que estabeleça as modalidades de aplicação do presente regulamento.Retardo de ida e volta: atraso de ida e volta [RFC2681]variação de atraso [RFC3393]As tecnologias anteriores são difíceis de monitorar as informações acima em tempo real, mas os vários campos personalizados e os intervalos de monitoramento do IPFIX podem monitorar facilmente os valores acima de várias mensagens.
Aqui está uma tabela expandida que fornece mais detalhes sobre as diferenças entre NetFlow e IPFIX: