جریان شبکه (پروتکل شناسایی جریان داده شبکه)
با ارتقاء سیستم نرم افزار و بلوغ طرح ترمیم آسیب پذیری، حالت حمله ویروس که به طور مستقیم به میزبان برای آسیب وارد می شود، به تدریج کاهش می یابد،و سپس به مصرف مخرب منابع شبکه محدود تبدیل می شود، باعث ازدحام شبکه می شود و در نتیجه توانایی سیستم برای ارائه خدمات خارجی را از بین می برد. در پاسخ به چنین حملات،صنعت یک روش تشخیص داده های شبکه را پیشنهاد کرده است جریان برای قضاوت از ناهنجاری های شبکه و حملاتبا شناسایی اطلاعات جریان داده شبکه در زمان واقعی،مدیران شبکه می توانند وضعیت کل شبکه را در زمان واقعی با تطبیق الگوی تاریخی (برای قضاوت اینکه آیا طبیعی است) یا الگوی غیرطبیعی (برای قضاوت اینکه آیا مورد حمله است) بررسی کنند. تشخیص مشکلات احتمالی در عملکرد شبکه و به طور خودکار کنترل یا نمایش آلارم برای اطمینان از عملکرد کارآمد و قابل اعتماد شبکه.
تکنولوژی جریان شبکه برای اولین بار توسط Darren Kerr و Barry Bruins از سیسکو در سال 1996 اختراع شد و در ماه مه همان سال به عنوان یک ثبت اختراع در ایالات متحده ثبت شد.فناوری جریان شبکه برای اولین بار در تجهیزات شبکه برای تسریع در تبادل داده استفاده می شود، و می تواند اندازه گیری و آمار جریان داده های IP با سرعت بالا را درک کند.عملکرد اصلی Netflow برای تسریع تبادل داده ها به تدریج توسط تراشه های ASIC اختصاصی در دستگاه های شبکه جایگزین شده است، در حالی که عملکرد اندازه گیری و آمار جریان داده های IP از طریق دستگاه های شبکه هنوز حفظ شده است.آمار و صورتحساب در زمینه اینترنتتکنولوژی Netflow می تواند الگوی رفتاری دقیق ترافیک شبکه IP / MPLS را تجزیه و تحلیل و اندازه گیری کند و آمار دقیق عملکرد شبکه را ارائه دهد.
سیستم جریان خالص شامل سه بخش اصلی است: صادر کننده، جمع آوری کننده و سیستم گزارش تجزیه و تحلیل.
صادر کننده: داده های شبکه را نظارت می کند
جمع آوری کننده: برای جمع آوری داده های شبکه صادر شده از صادر کننده استفاده می شود
تجزیه و تحلیل: برای تجزیه و تحلیل داده های شبکه جمع آوری شده از جمع آوری کننده و تولید گزارش استفاده می شود
با تجزیه و تحلیل اطلاعات جمع آوری شده توسط Netflow، مدیران شبکه می توانند منبع، مقصد، نوع سرویس شبکه بسته ها و علت ازدحام شبکه را بدانند.این ممکن است یک رکورد کامل از ترافیک شبکه مانند tcpdump ارائه نمی دهد، اما زمانی که با هم جمع می شوند بسیار آسان تر برای مدیریت و خواندن است.
خروجی داده های شبکه NetFlow از روترها و سوئیچ ها شامل جریان داده های منقضی شده و آمار ترافیک دقیق است.این جریان داده ها شامل آدرس IP مرتبط با منبع و مقصد بسته است، و همچنین پروتکل و پورت مورد استفاده توسط جلسه از انتهای به انتهای. آمار ترافیک شامل مهر زمان جریان داده ها، آدرس های IP منبع و مقصد، شماره های پورت منبع و مقصد،شماره رابط ورودی و خروجی، آدرس های IP هپ بعدی، تعداد بیت ها در جریان، تعداد بسته ها در جریان، و مهر زمان اولین و آخرین بسته در جریان. و ماسک جلو، شماره بسته، و غیره
Netflow V9 یک فرمت خروجی داده های Netflow انعطاف پذیر و قابل گسترش با خروجی آمار مبتنی بر قالب است. آسان برای اضافه کردن زمینه های داده ای است که نیاز به خروجی دارند و از انواع توابع جدید پشتیبانی می کنند.مثل: جریان شبکه چند موردی ، جریان شبکه آگاه MPLS ، BGP Next Hop V9 ، جریان شبکه برای IPv6 و غیره.
در سال 2003، Netflow V9 نیز به عنوان استاندارد IPFIX (برآمد اطلاعات جریان IP) توسط IETF از میان پنج نامزد انتخاب شد.
IPFIX (رصد ترافیک شبکه)
تکنولوژی مبتنی بر جریان به طور گسترده ای در زمینه شبکه استفاده می شود، ارزش زیادی در تنظیم سیاست QoS، استقرار برنامه های کاربردی و برنامه ریزی ظرفیت دارد.مدیران شبکه فاکتور استاندارد برای جریان داده های خروجی ندارندIPFIX (برآمد اطلاعات جریان IP، خروجی اطلاعات جریان داده IP) یک پروتکل استاندارد برای اندازه گیری اطلاعات جریان در شبکه های منتشر شده توسط IETF است.
فرمت تعریف شده توسط IPFIX بر اساس فرمت خروجی داده های Cisco Netflow V9 است که آمار و استانداردهای خروجی جریان داده های IP را استاندارد می کند.این یک پروتکل برای تجزیه و تحلیل ویژگی های جریان داده و داده های خروجی در قالب مبتنی بر قالب استبنابراین، مقیاس پذیری قوی دارد. اگر الزامات نظارت بر ترافیک تغییر کند،مدیران شبکه می توانند پیکربندی های مربوطه را بدون ارتقاء نرم افزار دستگاه شبکه یا ابزارهای مدیریت تغییر دهند.مدیران شبکه می توانند به راحتی آمار مهم ترافیک ذخیره شده در این دستگاه های شبکه را استخراج و مشاهده کنند.
برای یک خروجی کامل تر، IPFIX از هفت دامنه کلیدی دستگاه های شبکه به طور پیش فرض برای نشان دادن ترافیک شبکه در هر سهم استفاده می کند:
1. آدرس IP منبع
2. آدرس IP مقصد
3پورت منبع TCP/UDP
4پورت مقصد TCP/UDP
5. نوع پروتکل لایه 3
6. نوع سرویس (نوع سرویس) بایت
7یک رابط منطقی وارد کنید.
اگر تمام هفت دامنه کلیدی در بسته های IP مختلف مطابقت داشته باشند، بسته های IP به عنوان متعلق به یک ترافیک یکسان در نظر گرفته می شوند.مانند مدت زمان ترافیک و متوسط طول بسته، شما می توانید در مورد برنامه شبکه فعلی یاد بگیرید، شبکه را بهینه سازی کنید، امنیت را تشخیص دهید و ترافیک را شارژ کنید.
معماری شبکه IPFIX
به طور خلاصه، IPFIX بر اساس مفهوم جریان است. جریان به بسته هایی از همان زیر رابط با همان آدرس IP منبع و مقصد، نوع پروتکل،شماره بندر منبع و مقصدIPFIX آمار مربوط به جریان را شامل مهر زمان، تعداد بسته ها و تعداد بیت ها می کند. IPFIX شامل سه دستگاه است:صادر کننده، جمع کننده و تحلیلگر. روابط بین این سه دستگاه به شرح زیر است:
صادرات جریان های شبکه را تجزیه و تحلیل می کند، آمار جریان واجد شرایط را استخراج می کند و آمار را به کلکتور ارسال می کند.
جمع آوری کننده بسته های داده صادرات را تجزیه و تحلیل می کند و آمار را در پایگاه داده برای تجزیه و تحلیل توسط تحلیلگر جمع آوری می کند.
تجزیه و تحلیلگر آمار را از جمع آوری کننده استخراج می کند، پردازش بعدی را انجام می دهد و آمار را به عنوان یک GUI برای خدمات مختلف نمایش می دهد.
سناریوهای کاربرد IPFIX
حسابداری مبتنی بر استفاده
صورتحساب ترافیک در اپراتورهای شبکه به طور کلی بر اساس ترافیک آپلود و دانلود هر کاربر است.هزینه ترافیک آینده را می توان بر اساس ویژگی های سرویس برنامه تقسیم بندی کردالبته، پروتکل همچنین توضیح می دهد که آمار بسته های IPFIX "نمونه برداری" می شود. در بسیاری از برنامه ها (مانند لایه ستون فقرات) ، هرچه آمار جریان داده دقیق تر باشد، بهتر است.به دلیل عملکرد دستگاه های شبکه، نرخ نمونه گیری نمی تواند خیلی کم باشد، بنابراین لازم نیست که صورتحساب ترافیک کاملا دقیق و قابل اعتماد ارائه شود.واحد صورتحساب معمولا بیش از 100 مگابیت است، و دقت نمونه گیری IPFIX می تواند نیازهای مربوطه را برآورده کند.
پروفایل سازی ترافیک، مهندسی ترافیک
خروجی رکورد IPFIX Exporter، IPFIX Collector می تواند اطلاعات بسیار غنی رکورد ترافیک را به شکل نمودار های مختلف تولید کند، این مفهوم پروفایل ترافیک است.
با این حال، فقط ثبت اطلاعات، نمی تواند از عملکرد قدرتمند IPFIX استفاده کند، IETF همچنین مفهوم مهندسی ترافیک را راه اندازی کرد: در عملیات واقعی شبکه،اغلب تعادل بار برنامه ریزی شده و پشتیبان گیری اضافی، اما پروتکل های مختلف به طور کلی با توجه به مسیر پیش تعیین شده برنامه ریزی شبکه، یا اصول پروتکل تنظیم می شوند.اگر IPFIX برای نظارت بر ترافیک شبکه استفاده شود و مقدار زیادی داده در یک دوره زمانی مشخص پیدا شود، مدیر شبکه می تواند گزارش داده شود تا ترافیک را تنظیم کند، به طوری که پهنای باند شبکه بیشتری را می توان به برنامه های مرتبط اختصاص داد تا بار نامتناسبی را کاهش دهد.شما می توانید قوانین پیکربندی را ببندید، مانند تنظیم مسیر، تخصیص پهنای باند و سیاست های امنیتی، به عملیات در IPFIX Collector برای تنظیم خودکار ترافیک شبکه.
شناسایی حمله/ نفوذ شناسایی حمله/ نفوذ
IPFIX می تواند حملات شبکه را بر اساس ویژگی های ترافیک تشخیص دهد. به عنوان مثال، اسکن IP معمولی، اسکن پورت، حملات DDOS.پروتکل IPFIX استاندارد نمونه گیری همچنین می تواند از یک ارتقاء " پایگاه داده امضای " برای مسدود کردن آخرین حملات شبکه استفاده کند، درست مثل محافظت از ویروس های میزبان
نظارت بر کیفیت خدمات (QoS Monitoring)
پارامترهای معمول QoS عبارتند از:
وضعیت از دست دادن بسته: از دست دادن [RFC2680]
تاخیر یک طرفه: تاخیر یک طرفه [RFC2679]
تاخیر سفر دور: تاخیر سفر دور [RFC2681]
تغییرات تاخیر [RFC3393]
تکنولوژی های قبلی برای نظارت بر اطلاعات بالا در زمان واقعی دشوار است، اما زمینه های مختلف سفارشی IPFIX و فواصل نظارت می توانند به راحتی ارزش های فوق را از پیام های مختلف نظارت کنند.
در اینجا یک جدول گسترش یافته است که جزئیات بیشتری در مورد تفاوت های بین NetFlow و IPFIX ارائه می دهد:
