Netflow (ネットワークデータフロー検出プロトコル)
ソフトウェアシステムのアップグレードと 脆弱性修復スキームの成熟により ホストに直接侵入してダメージを与える ウイルス攻撃モードは 徐々に減少します制限されたネットワークリソースの悪意のある消費に回ります,ネットワークの混雑を引き起こし,外部サービスを提供するシステムの能力を破壊します.ネットワークの異常や攻撃を判断するためのネットワークデータフローの検出方法が提案されていますリアルタイムでネットワークデータフロー情報を検出することでネットワーク管理者は,過去パターン (正常かどうか判断するために) や異常パターン (攻撃されているかどうかを判断するために) をマッチすることによって,ネットワーク全体の状態をリアルタイムで確認できます.ネットワークのパフォーマンスの潜在的なボトルネックを検出し,効率的かつ信頼性の高いネットワーク運用を確保するために自動的に操作またはアラーム表示します.
ネットワークフロー技術は1996年にDarren KerrとCiscoのBarry Bruinsによって最初に発明され,同年の5月に米国特許として登録されました.ネットワーク機器でデータ交換を加速するためにネットフロー技術が最初に使用される高速転送されたIPデータフローの測定と統計を認識できます.データ交換加速のためのNetflowの元の機能は,ネットワークデバイスの専用ASICチップによって徐々に置き換えられました.IP/MPLSトラフィック分析の最も認知されている業界標準となっています.インターネットにおける統計と請求Netflow 技術は,IP/MPLS ネットワークトラフィックの詳細な行動パターンを分析し測定し,ネットワーク運用の詳細な統計を提供します.
Netflowシステムには,出口者,収集者,分析報告システムという3つの主要な部分があります.
エクスポート:ネットワークデータをモニターする
コレクター: エクスポートから輸出されたネットワークデータを収集するために使用されます.
分析: コレクターから収集されたネットワークデータを分析し,レポートを作成するために使用されます.
Netflow によって収集された情報を分析することで,ネットワーク管理者はソース,宛先,ネットワークサービスタイプのパケット,およびネットワーク混雑の原因を知ることができます.tcpdumpのようにネットワークトラフィックの完全な記録を提供できないかもしれません.簡単に読み取れます
NetFlowネットワークのルーターとスイッチからのデータ出力は,有効期限が切れたデータフローと詳細なトラフィック統計からなる.このデータフローには,送信先と送信先と関連付けられている IP アドレスが含まれます.端から端までのセッションで使用されるプロトコルとポート.トラフィック統計には,データフローのタイムスタンプ,ソースと宛先IPアドレス,ソースと宛先ポート番号が含まれます.入力・出力インターフェイス番号次のホップのIPアドレス,フロー内のバイト総数,フロー内のパケットの数,フロー内の最初のパケットと最後のパケットのタイムスタンプ. そしてフロントマスク,パケット番号,など.
Netflow V9は,テンプレートベースの統計出力を持つ新しい柔軟で拡張可能なNetflowデータ出力形式です.出力する必要があるデータフィールドを追加し,さまざまな新しい機能をサポートします.例えば: Multicase Netflow,MPLS Aware Netflow,BGP Next Hop V9,IPv6用のネットフローなど
2003年,Netflow V9は,5人の候補者の中からIPFIX (IPフロー情報輸出) 標準としてIETFによって選択された.
IPFIX (ネットワークトラフィックモニタリング)
流量ベースの技術は,ネットワーク分野で広く使用されており,QoSのポリシー設定,アプリケーションの展開,能力計画において大きな価値があります.ネットワーク管理者は出力データストリームの標準フォーマットがないIPFIX (IPフロー情報輸出,IPデータフロー情報出力) は,IETFが発行したネットワークにおけるフロー情報を測定するための標準プロトコルである.
IPFIXによって定義されたフォーマットは,IPデータフローの統計と出力基準を標準化するCisco Netflow V9データ出力フォーマットに基づいています.テンプレートベースの形式でデータフローの特徴と出力データを分析するためのプロトコルです交通監視の要件が変わると,ネットワーク管理者は,ネットワークデバイスソフトウェアまたは管理ツールをアップグレードせずに対応する構成を変更できます.ネットワーク管理者は,これらのネットワークデバイスに保存されている重要なトラフィック統計を簡単に抽出し,表示できます.
より完全な出力のために,IPFIXはネットワークデバイスの7つの主要なドメインをデフォルトで利用し,シェアごとにネットワークトラフィックを表します.
1ソース IP アドレス
2目的地IPアドレス
3TCP/UDP ソースポート
4TCP/UDP 宛先ポート
5レイヤ3 プロトコルタイプ
6. サービスの種類 (サービスの種類) バイト
7論理インターフェースを入力します.
異なるIPパケットのすべての7つのキードメインが一致すると,IPパケットは同じトラフィックに属すると考えられます.ネットワーク上のトラフィックの特徴を記録することによって,平均パケットの長さなどネットワークを最適化し セキュリティを検知し トラフィックを充電できます
IPFIXネットワークアーキテクチャ
IPFIXは,Flowの概念に基づいています.Flowは,同じサブインターフェイスから送信されたパケットを,同じソースと宛先IPアドレス,プロトコルタイプ,出発港と目的港番号IPFIXは,IPFIXのデータストリームを記録する.IPFIXは,IPFIXのデータストリームを記録する.IPFIXは,IPFIXのデータストリームを記録する.IPFIXは,IPFIXのデータストリームを記録する.輸出業者3つのデバイス間の関係は次のとおりです.
エクスポートはネットワークフローを分析し,合格のフロー統計を抽出し,統計をコレクターに送ります.
コレクターは,輸出データパケットを解析し,分析者による分析のためにデータベースに統計を収集します.
アナリストは,コレクターから統計を抽出し,その後処理を行い,さまざまなサービスのためのGUIとして統計を表示します.
IPFIX 適用シナリオ
使用に基づく会計
ネットワークオペレーターにおけるトラフィック請求は,一般的に各ユーザーのアップロードおよびダウンロードトラフィックに基づいています. IPFIXは,目的IPアドレス,プロトコルポート,および他のフィールドに正確であることができますので,将来の交通料金設定は,アプリケーションサービスの特徴に基づいて分割できますもちろん,プロトコルはIPFIXパケット統計が"サンプリング"されていることも説明している.多くのアプリケーション (バックボーン層など) では,データフロー統計が詳細であればあるほど,よりよい.ネットワークデバイスの性能により, 抽出率は小さすぎるわけにはいかないので,完全に正確で信頼性の高いトラフィック請求を提供する必要はありません.しかし,ネットワークオペレーターレベルでは,決済単位は通常100メガビット以上ですIPFIXのサンプリング精度は,関連するニーズを満たすことができます.
交通プロファイリング,交通工学
IPFIX エクスポートのレコード出力 IPFIX コレクターは,様々なチャートの形で非常に豊富なトラフィック記録情報を出力することができます.これはトラフィックプロファイリングの概念です.
IPFIXの強力な機能を利用することはできません. IETFはまた,トラフィックエンジニアリングの概念を開始しました.通常計画された負荷バランスと冗長なバックアップネットワーク計画の事前決定された経路に従って,またはプロトコルの原則が調整されます.IPFIX がネットワーク上のトラフィックを監視するために使用され,一定の期間中に大量のデータが検出される場合ネットワーク管理者にトラフィックを調整するように指示され,不均等な負荷を減らすために関連アプリケーションにより多くのネットワーク帯域幅を割り当てることができます.設定ルールをバインドできます.IPFIX コレクター上の操作に,ルート調整,帯域幅割り当て,セキュリティポリシーなど,ネットワークトラフィックを自動的に調整します.
攻撃/侵入検知 攻撃/侵入検知
IPFIXは,トラフィック特性に基づいてネットワーク攻撃を検出することができます.例えば,典型的なIPスキャン,ポートスキャン,DDOS攻撃など.サンプリング標準IPFIXプロトコルは,最新のネットワーク攻撃をブロックするために"署名データベース"アップグレードも使用できます.宿主側ウイルス保護と同じです
QoSモニタリング (ネットワークサービス品質モニタリング)
典型的なQoSパラメータは:
パケット損失状態:損失 [RFC2680]
一方向遅延: 一方向遅延 [RFC2679]
往復遅延:往復遅延 [RFC2681]
遅延変化 [RFC3393]
以前の技術では,上記の情報をリアルタイムで監視することは困難ですが,IPFIXのさまざまなカスタムフィールドとモニタリング間隔は,さまざまなメッセージの上記の値を容易に監視できます.
NetFlow と IPFIX の違いについて詳細を紹介しています.
