По­нятие NetF­lowсос­то­ит из 2-х слов: Net – сеть и Flow – по­ток. Со­от­ветс­твен­но, NetF­low оз­на­ча­ет Се­тевой По­ток. Это по­нятие при­мени­ла ком­па­ния Cis­co Sys­temsдля сво­ей тех­но­логии, ис­поль­зу­емой в опе­раци­он­ной сис­те­ме Cis­co IOSВ со­от­ветс­твии с NetF­lowпро­токо­лом вы­пол­ня­ет­ся ана­лиз па­кетов, про­ходя­щих че­рез оп­ре­делен­ный ин­терфейс се­тево­го уст­рой­ства, на ос­но­ве че­го фор­ми­ру­ет­ся ин­форма­ция в оп­ре­делен­ном фор­ма­те о па­рамет­рах раз­личных се­тевых по­токов, про­ходя­щих че­рез этот ин­терфейс, и эта ин­форма­ция пе­реда­ет­ся по IP се­ти спе­ци­аль­ной прог­рамме, на­зыва­емой NetF­low кол­лекто­ром (NetF­low col­lector). Прог­рамма NetF­lowкол­лектор, ус­та­нав­ли­ва­ет­ся на ка­ком-то компьюте­ре (сер­ве­ре) се­ти, и за­нима­ет­ся сбо­ром и пер­вичной об­ра­бот­кой ин­форма­ции от од­но­го или груп­пы се­тевых уст­рой­ств, пе­реда­ющих дан­ные в фор­ма­те NetF­low. Да­лее уже ис­поль­зу­ют­ся прог­раммы, ана­лизи­ру­ющие соб­ранные дан­ные и пре­дос­тавля­ющие поль­зо­вате­лю тре­бу­емые ему от­че­ты о ра­боте се­ти.

Чем же ха­рак­те­рен се­тевой по­ток? Се­тевой по­ток иден­ти­фици­ру­ет­ся, как од­но­нап­равлен­ный по­ток па­кетов меж­ду оп­ре­делен­ным ис­точни­ком и при­ем­ни­ком дан­ных, ко­торые ха­рак­те­ризу­ют­ся IP ад­ре­сами и ис­поль­зу­емы­ми пор­та­ми. Ес­ли же быть точ­нее, то для уни­каль­ной иден­ти­фика­ции по­тока ис­поль­зу­ет­ся 7 по­лей:

  • IP ад­рес ис­точни­ка дан­ных;
  • IP  ад­рес при­ем­ни­ка дан­ных;
  • Но­мер пор­та ис­точни­ка дан­ных;
  • Но­мер пор­та при­ем­ни­ка дан­ных;
  • Тип про­токо­ла 3-го уров­ня;
  • Тип сер­ви­са IP па­кетов (ToS);
  • Вход­ной ло­гичес­кий ин­терфейс.

 

 

 

При­мер се­тево­го по­тока че­рез се­тевой ин­терфейс Inf1(127.0.0.1) из IP пор­та 61418 с IP ад­ре­сом 10.10.5.24 на IP порт 5060 се­тево­го уст­рой­ства с IP ад­ре­сом 195.5.0.116 с ис­поль­зо­вани­ем про­токо­ла UDP и ти­пом сер­ви­са, рав­ным 0, по­казан на ри­сун­ке 1. В боль­шинс­тве слу­ча­ев, как пра­вило, при­сутс­тву­ет и об­ратный се­тевой по­ток с ана­логич­ны­ми па­рамет­ра­ми (иног­да мо­жет от­ли­чать­ся Тип сер­ви­са - ToS). Об­ратный се­тевой по­ток с ана­логич­ны­ми па­рамет­ра­ми бу­дет от­сутс­тво­вать для груп­повых и ши­роко­веща­тель­ных рас­сы­лок, так как при­ем­ни­ками дан­ных в этих слу­ча­ях выс­ту­па­ют спе­ци­аль­ные (груп­по­вые или ши­роко­веща­тель­ные) IP ад­ре­са. Пе­речень та­ких IP ад­ре­сов мож­но най­ти в RFC 3330 [1].

Пе­речис­ленные вы­ше по­ля яв­ля­ют­ся клю­чевы­ми в про­токо­ле NetF­low всех вер­сий.

Расс­мот­рим, ка­кие вер­сии про­токо­ла NetF­low су­щест­ву­ют. Вер­сия 1 про­токо­ла NetF­low на се­год­няшний день уже ус­та­рела и не ис­поль­зу­ет­ся. Вер­сии 2-4, а так­же вер­сия 6 ни­ког­да не вклю­чались в Cis­co IOS, и, со­от­ветс­твен­но, не под­держи­ва­ют­ся. Од­ной из на­ибо­лее по­пуляр­ных ста­ла вер­сия 5, в ко­торый бы­ла до­бав­ле­на ин­форма­ция об но­мерах ав­то­ном­ных сис­тем, ис­поль­зу­емых в про­токо­ле гра­нич­но­го шлю­за (Bor­derGa­tewayPro­tocol — BGP), и но­мер по­тока. Эта вер­сия до сих пор ис­поль­зу­ет­ся, ес­ли нет пот­ребнос­ти в до­пол­ни­тель­ной ин­форма­ции, ко­торая пре­дос­тавля­ет­ся бо­лее позд­ни­ми вер­си­ями про­токо­ла. Вер­сия 7 ста­ла раз­ви­ти­ем вер­сии 5 и она ста­ла под­держи­вать­ся в се­рии ком­му­тато­ров Cis­co Ca­talyst. В вер­сии 8 бы­ла вве­дена воз­можность аг­ре­гации дан­ных, что ак­ту­аль­но при боль­ших объемах дан­ных про­токо­ла NetF­low. И, на­конец, в пос­ледней вер­сии, 9-й, про­токо­ла NetF­low ко­личест­во по­лей су­щест­вен­но уве­личи­лось по срав­не­нию с вер­си­ей 5. Эти до­пол­ни­тель­ные по­ля поз­во­ля­ют рас­ши­рить и уточ­нить ин­форма­цию, про­ходя­щую в се­тевом по­токе. Нап­ри­мер, вер­сия 9 вклю­ча­ет ин­форма­цию 2-го уров­ня се­тевой мо­дели: под­держ­ка IPv6, груп­по­вых (Mu­ticast) рас­сы­лок, па­рамет­ры про­токо­лов MPLS, BGP и дру­гое. Но ос­новное нов­шест­во вер­сии 9 — это ис­поль­зо­вание шаб­ло­нов, что обес­пе­чива­ет лег­кое рас­ши­рение про­токо­ла за счет ис­поль­зо­вания но­вых ти­пов шаб­ло­нов дан­ных. Бо­лее под­робное опи­сание про­токо­ла NetF­low вер­сий и 9 бу­дет при­веде­но ни­же.

Пос­коль­ку ком­па­ния Cis­co Sys­tems при­мени­ла про­токол NetF­low в опе­раци­он­ной сис­те­ме Cis­co IOS, то, со­от­ветс­твен­но, он ис­поль­зо­вал­ся в уст­рой­ствах этой ком­па­нии, в част­нос­ти, в марш­ру­тиза­торах, сер­ве­рах дос­ту­па. В нас­то­ящее вре­мя, бла­года­ря сво­ей ус­пешнос­ти и даль­ней­ше­му усо­вер­шенс­тво­ванию, этот про­токол при­меня­ет­ся и в дру­гих се­тевых уст­рой­ствах (ком­му­тато­рах, точ­ках дос­ту­па и т.п.) этой ком­па­нии. На ба­зе NetF­low вер­сии 9 со­об­щест­вом IETF был при­нят стан­дарт
IP­FIX (IPFlow Infor­ma­ti­oneXport), ко­торый при­меня­ет­ся ря­дом про­из­во­дите­лей се­тево­го обо­рудо­вания, в част­нос­ти, Ava­ya-Nor­tel и дру­гими. Бы­ли так­же соз­да­ны по­доб­ные NetF­low про­токо­лы дру­гими ком­па­ни­ями - про­из­во­дите­лями се­тево­го обо­рудо­вания:

Flow (Fo­und­ry Net­works),

NetS­tre­am (HP - 3Com, H3C, Hu­awei),

Cflowd (Al­ca­tel, Lu­cent),

Jflow & cflowd (Ju­nIPer Net­works),

- и дру­гие.

Су­щест­ву­ют так­же прог­раммы - сен­со­ры NetF­low или по­доб­ных ему про­токо­лов для компьюте­ров с раз­личны­ми опе­раци­он­ны­ми сис­те­мами, ко­торые поз­во­ля­ют фор­ми­ровать ин­форма­цию о се­тевых по­токах, про­ходя­щих че­рез ин­терфей­сы компьюте­ра.

Ин­форма­ция, по­лучен­ная с по­мощью NetF­low про­токо­ла, мо­жет ис­поль­зо­вать­ся в це­лом ря­де при­ложе­ний:

  • Мо­нито­ринг се­ти.

    Дан­ные NetF­low про­токо­ла поз­во­ля­ют осу­щест­влять мо­нито­ринг сос­то­яния се­ти. С по­мощью прог­рамм, об­ра­баты­ва­ющих на­коп­ленные дан­ные от NetF­low кол­лекто­ров, мож­но оце­нить тра­фик по от­дель­ным се­тевым уст­рой­ствам (пи­ковый, ус­реднен­ный, по оп­ре­делен­но­му ин­терфей­су и т.п.), вы­яв­лять проб­ле­мы, воз­ни­ка­ющие в се­ти (пе­рег­рузка или от­каз ка­ких-то се­тевых уст­рой­ств, не­санк­ци­они­рован­ные дей­ствия в се­ти и т.п.) и со­от­ветс­твен­но быст­ро при­нимать ре­шения по уст­ра­нению этих проб­лем.

  • Мо­нито­ринг при­ложе­ний.

    Дан­ные NetF­low про­токо­ла поз­во­ля­ют се­тевым ад­ми­нист­ра­торам иметь точ­ную ин­форма­цию о том, ка­кие при­ложе­ния в ка­кое вре­мя ис­поль­зу­ют­ся в се­ти, вы­яв­лять, ка­кие из при­ложе­ний на­иболь­шим об­ра­зом наг­ру­жа­ют сеть. Это мо­жет ис­поль­зо­вать­ся для пла­ниро­вания но­вых сер­ви­сов, та­ких как пе­реда­ча го­лоса че­рез IP (Vo­IP), IPTV, ви­део по зап­ро­су и т.п., и расп­ре­деле­ния прог­рамм­ных при­ложе­ний в се­ти.

  • Мо­нито­ринг поль­зо­вате­лей.

    Дан­ные NetF­low про­токо­ла поз­во­ля­ют со­бирать де­таль­ную ин­форма­цию по каж­до­му поль­зо­вате­лю се­ти, о том ка­кие се­тевые ре­сур­сы им ис­поль­зу­ют­ся в конк­рет­ный мо­мент вре­мени, ка­кие ис­поль­зу­ют­ся при­ложе­ния, с ка­кими IP ад­ре­сами ра­бота­ет и то­му по­доб­ное. Эта ин­форма­ция мо­жет ис­поль­зо­вать­ся для эф­фектив­но­го пла­ниро­вания се­ти и расп­ре­деле­ния дос­ту­па поль­зо­вате­лей к се­тевым ре­сур­сам, оп­ре­деле­ния тре­бу­емой для них по­лосы про­пус­ка­ния, а так­же об­на­руже­ния воз­можных проб­лем с бе­зопас­ностью.

  • Пла­ниро­вание раз­ви­тия се­ти.

    Ес­ли обес­пе­чить сбор и ана­лиз дан­ных NetF­low про­токо­ла за дли­тель­ный пе­ри­од вре­мени, то мож­но вы­явить тен­денции по рос­ту се­ти и на ос­но­ве этих дан­ных заб­ла­гов­ре­мен­но спла­ниро­вать не­об­хо­димое ее раз­ви­тие, за счет уве­личе­ния чис­ла или про­из­во­дитель­нос­ти марш­ру­тиза­торов, рас­ши­рения по­лосы про­пус­ка­ния, из­ме­нения в по­лити­ке марш­ру­тиза­ции се­тевых по­токов.NetF­low про­токол поз­во­ля­ет ми­ними­зиро­вать об­щую сто­имость се­тевых опе­раций и в то­же вре­мя уве­личить про­из­во­дитель­ность се­ти, ее воз­можнос­ти и на­деж­ность. NetF­low поз­во­ля­ет об­на­ружить не­жела­тель­ный внеш­ний тра­фик, конт­ро­лиро­вать ка­чест­во сер­ви­са (QOS) и ана­лизи­ровать пос­ледс­твия внед­ре­ния в сеть но­вых се­тевых при­ложе­ний.

  • Ана­лиз бе­зопас­ности в се­ти.

    Ис­поль­зуя NetF­low про­токол мож­но иден­ти­фици­ровать и клас­си­фици­ровать ата­ки по от­ка­зу в обс­лу­жива­нии (DDOS ата­ки), вы­яв­лять тра­фик, ге­нери­ру­емый ви­руса­ми и тро­янс­ки­ми прог­рамма­ми в ре­аль­ном вре­мени. Ана­лизи­руя се­тевое по­веде­ние, мож­но опе­ратив­но вы­явить ано­малии в се­ти и при­нять ме­ры для их уст­ра­нения.

  • Учет ис­поль­зу­емых се­тевых ре­сур­сов. Бил­линг.

    Су­щест­ву­ет нес­коль­ко ме­ханиз­мов для уче­та ис­поль­зу­емых поль­зо­вате­лями се­тевых ре­сур­сов. Один из них, ко­торый ши­роко ис­поль­зу­ет­ся, это на ос­но­ве дан­ных NetF­low про­токо­ла. Он обес­пе­чива­ет точ­ной ин­форма­ци­ей о пе­редан­ном/при­нятом тра­фике, на ка­кие или с ка­ких IP ад­ре­сов, по ка­ким пор­там и ка­кое конк­рет­но вре­мя. На ос­но­вании че­го мож­но выс­тавлять поль­зо­вате­лям сче­та, ес­ли поль­зо­вате­лем не ис­поль­зу­ет­ся без­ли­мит­ный па­кет.

 

NetF­low кэ­широ­вание и экс­порт

Расс­мот­рим ме­ханизм, то­го, как про­ис­хо­дит сбор ин­форма­ции о се­тевых по­токах и их экс­пор­ти­рова­ние в обо­рудо­вании Cis­co Sys­tems. Прог­рамм­ный мо­дуль на се­тевом уст­рой­стве прос­матри­ва­ет па­кеты, про­ходя­щие че­рез се­тевой ин­терфейс, и на ос­но­вании их ана­лиза фор­ми­ру­ет дан­ные по каж­до­му се­тево­му по­току, про­ходя­щему че­рез этот ин­терфейс в фор­ма­те NetF­low про­токо­ла. Эти дан­ные в ви­де от­дель­ных за­писей по каж­до­му се­тево­му по­току вре­мен­но скла­дыва­ют­ся в кэш (кэ­ширу­ют­ся). Каж­дая за­пись о по­токе име­ет уни­каль­ный иден­ти­фика­тор. Пе­ри­оди­чес­ки дан­ные из кэ­ша пе­ресы­ла­ют­ся че­рез се­тевой ин­терфейс на компьютер (сер­вер), на ко­тором ус­та­нов­ле­на прог­рамма NetF­low кол­лекто­ра (ри­сунок 2).

Та­ким об­ра­зом, ис­поль­зо­вание NetF­low про­токо­ла нес­коль­ко до­пол­ни­тель­но заг­ру­жа­ет се­тевой ин­терфейс. Од­на­ко, бла­года­ря очень вы­сокой эф­фектив­ности про­токо­ла, пе­реда­ва­емые с по­мощью не­го дан­ные за­нима­ют все­го око­ло 1,5% от тра­фика ком­му­тато­ра или марш­ру­тиза­тора [2]. NetF­low про­токол подс­чи­тыва­ет прак­ти­чес­ки все па­кеты и обес­пе­чива­ет сжа­тый, но дос­та­точ­но ин­форма­тив­ный об­зор о всем се­тевом тра­фике по за­дан­но­му се­тево­му ин­терфей­су. Экс­пор­ти­рова­ние дан­ных из кэ­ша вы­пол­ня­ет­ся по оп­ре­делен­ным пра­вилам:

  • За­писи о се­тевых по­токах хра­нят­ся в кэ­ше определенный про­межу­ток вре­мени. По ис­те­чению это­го вре­мени они уда­ля­ют­ся. По умол­ча­нию в уст­рой­ствах Cis­co Sys­tems за­писи мо­гут хра­нить­ся 30 ми­нут.

  • Ес­ли кэш пол­ностью за­пол­ня­ет­ся, то часть за­писей уда­ля­ет­ся.

  • TCP со­еди­нения, у ко­торых прек­ра­тил­ся по­ток (FIN) или к ко­торым при­мене­на пе­резаг­рузка (RST), бу­дут счи­тать­ся ут­ра­тив­ши­ми си­лу.

 

За­писи о се­тевых по­токах, ко­торые ут­ра­тили си­лу груп­пи­ру­ют­ся в "NetF­low Ex­port" дей­таг­раммы и экс­пор­ти­ру­ют­ся на се­тевое уст­рой­ство (компьютер), с ус­та­нов­ленным NetF­low кол­лекто­ром. Та­кие дей­таг­раммы мо­гут со­дер­жать до 30 за­писей для NetF­low про­токо­лов вер­сий 5 или 9. Наст­рой­ка NetF­low про­токо­ла вы­пол­ня­ет­ся для каж­до­го ин­терфей­са се­тево­го уст­рой­ства. Для экс­пор­та ин­форма­ции тре­бу­ет­ся ука­зать IP ад­рес и но­мер пор­та уст­рой­ства, где бу­дет ра­ботать NetF­low кол­лектор.

 

NetF­low аг­ре­гация

Как упо­мина­лось вы­ше, на­чиная с вер­сии 8, про­токол NetF­low под­держи­ва­ет аг­ре­гацию дан­ных. Ис­поль­зо­вать аг­ре­гацию ре­комен­ду­ет­ся, ес­ли ожи­да­ет­ся боль­шой объем дан­ных по это­му про­токо­лу от мно­жест­ва се­тевых уст­рой­ств с боль­шим ко­личест­вом ин­терфей­сов. При­мене­ние аг­ре­гации поз­во­ля­ет сни­зит ши­рину по­лосы про­пус­ка­ния, не­об­хо­димую для пе­реда­чи NetF­low дан­ных, сни­зить наг­рузку на компьютер с NetF­low кол­лекто­ром и сэ­коно­мить объем жест­ко­го дис­ка, не­об­хо­димый для хра­нения об­ра­ботан­ных кол­лекто­ром NetF­low дан­ных. Хо­тя, ес­тест­вен­но, при этом часть ин­форма­ции бу­дет уте­ряна. Ком­па­ни­ей Cis­co Sys­tems пред­ла­га­ет­ся 11 ва­ри­ан­тов схем аг­ре­гации: шесть, ос­но­ван­ных, на па­рамет­ре Тип сер­ви­са (ToS) и пять, ко­торые не ис­поль­зу­ют этот па­раметр.

Схе­мы аг­ре­гации без ToS:

  • по ав­то­ном­ным сис­те­мам;
  • по пре­фик­су при­ем­ни­ка дан­ных;
  • по пре­фик­су;
  • на ос­но­ве про­токол — порт;
  • по пре­фик­су ис­точни­ка дан­ных.

Схе­мы аг­ре­гации на ос­но­ве ToS:

  • ав­то­ном­ная сис­те­ма — ToS;
  • пре­фикс при­ем­ни­ка дан­ных — ToS;
  • пре­фикс — ToS;
  • про­токол — порт — ToS;
  • пре­фикс ис­точни­ка дан­ных — ToS;
  • пре­фикс — порт.  

 

По­ля NetF­low вер­сии 5

Крат­кое опи­сание по­лей, ко­торые со­дер­жатся в  NetF­low про­токо­ле вер­сии 5, при­веде­но в таб­ли­це 1.

Таб­ли­ца 1

На­име­нова­ние

Опи­сание

srcaddr

IP ад­рес ис­точни­ка дан­ных

dstaddr

IP ад­рес при­ем­ни­ка дан­ных

next­hop

IP ад­рес сле­ду­юще­го се­тево­го уст­рой­ства (марш­ру­тиза­тора), че­рез ко­торых бу­дут пе­ресы­лать­ся па­кеты дан­ных

in­put

Вход­ной ин­терфейс

out­put

Вы­ход­ной ин­терфейс

dPkts

Ко­личест­во па­кетов в по­токе

dOc­tets

Ко­личест­во байт в по­токе

first

Вре­мя на­чала по­тока в сис­те­ме Sy­sUp­ti­me

last

Вре­мя Sy­sUp­ti­me, ког­да пос­ледний па­кет по­тока был по­лучен

scrport

Но­мер пор­та ис­точни­ка дан­ных (4-го уров­ня се­тевой мо­дели)

dstport

Но­мер пор­та при­ем­ни­ка дан­ных (4-го уров­ня се­тевой мо­дели)

pad1

не­ис­поль­зу­емый байт

tcp_flags

TCP фла­ги

prot

Про­токол 4-го уров­ня (нап­ри­мер, 6=TCP, 17=UDP и т.п.)

tos

Тип сер­ви­са IP про­токо­ла

scr_as

Но­мер ав­то­ном­ной сис­те­мы ис­точни­ка дан­ных

dst_as

Но­мер ав­то­ном­ной сис­те­мы при­ем­ни­ка дан­ных

scr_mask

Мас­ка ад­ре­са ис­точни­ка дан­ных

dst_mask

Мас­ка ад­ре­са при­ем­ни­ка дан­ных

pad2

не­ис­поль­зу­емый байт

Для боль­шинс­тва за­дач, ко­торые ре­ша­ют­ся ад­ми­нист­ра­тором се­ти и ко­торые пе­речис­ля­лись в на­чале статьи, ука­зан­ных вы­ше по­лей дос­та­точ­но для про­веде­ние де­таль­но­го ана­лиза ра­боты се­ти.

 

По­ля NetF­low вер­сии 9

Крат­кое опи­сание по­лей, ко­торые со­дер­жатся в  NetF­low про­токо­ле вер­сии 9 [3], при­веде­но в таб­ли­це 2.

Таб­ли­ца 2

На­име­нова­ние

Опи­сание

IN_BY­TES

Вхо­дящий счет­чик с дли­ной N х 8 бит для ко­личест­ва байт, свя­зан­ных с IP по­током.

IN_PKTS

Вхо­дящий счет­чик с дли­ной N х 8 бит для ко­личест­ва па­кетов, свя­зан­ных с IP по­током.

FLOWS

Ко­личест­во по­токов, ко­торое аг­ре­гиру­ет­ся. По умол­ча­нию 4.

PRO­TOCOL

IP про­токол

SRC_TOS

Тип Сер­ви­са для вхо­дяще­го ин­терфей­са

TCP_FLAGS

Со­вокуп­ность всех TCP фла­гов для это­го по­тока

L4_SRC_PORT

Но­мер пор­та TCP/UDP ис­точни­ка: FTP, Tel­net и т.п.

IPV4_SRC_ADDR

Ад­рес ис­точни­ка дан­ных IP про­токо­ла вер­сии 4

SRC_MASK

Мас­ка ис­точни­ка дан­ных

IN­PUT_SNMP

Ин­декс вхо­дяще­го ин­терфей­са; по умол­ча­нию 2, но мо­гут ис­поль­зо­вать­ся и бо­лее вы­сокие зна­чения.

L4_DST_PORT

Но­мер пор­та TCP/UDP при­ем­ни­ка: FTP, Tel­net и т.п.

PV4_DST_ADDR

Ад­рес при­ем­ни­ка дан­ных про­токо­ла IP вер­сии 4

DST_MASK

Мас­ка при­ем­ни­ка дан­ных

OUT­PUT_SNMP

Ин­декс ис­хо­дяще­го ин­терфей­са; по умол­ча­нию 2, но мо­гут ис­поль­зо­вать­ся бо­лее вы­сокие зна­чения.

IPV4_NEXT_HOP

IPv4 ад­рес сле­ду­юще­го марш­ру­тиза­тора (next-hop ro­uter)

SRC_AS

Номер ав­то­ном­ной сис­те­мы BGP ис­точни­ка. Зна­чение по умол­ча­нию: 2. Так­же мо­жет быть и 4

DST_AS

Номер ав­то­ном­ной сис­те­мы BGP при­ем­ни­ка. Зна­чение по умол­ча­нию: 2. Так­же мо­жет быть и 4

BGP_IPV4_NEXT_HOP

IP ад­рес сле­ду­юще­го марш­ру­тиза­тора в BGP до­мене

MUL_DST_PKTS

Счет­чик груп­по­вых ис­хо­дящих IP па­кетов с дли­ной N x 8 бит для па­кетов, свя­зан­ных с IP по­током

MUL_DST_BY­TES

Счет­чик груп­по­вых ис­хо­дящих IP байт с дли­ной N x 8 бит для бай­тов, свя­зан­ных с IP по­током

LAST_SWITC­HED

Сис­темное вре­мя ра­боты, при ко­тором пос­ледний па­кет в этом по­токе был ском­му­тиро­ван.

FIRST_SWITC­HED

Сис­темное вре­мя ра­боты, при ко­тором пер­вый па­кет в этом по­токе был ском­му­тиро­ван.

OUT_BY­TES

Ис­хо­дящий счет­чик с дли­ной N x 8 бит для ко­личест­ва байт, свя­зан­ных с IP по­током

OUT_PKTS

Ис­хо­дящий счет­чик с дли­ной N x 8 бит для чис­ла па­кетов, свя­зан­ных с IP по­током.

MIN_PKT_LNGTH

Ми­нималь­ная дли­на IP па­кета для вхо­дящих па­кетов по­тока

MAX_PKT_LNGTH

Мак­си­маль­ная дли­на IP па­кета для вхо­дящих па­кетов по­тока

IPV6_SRC_ADDR

IPv6 ад­рес ис­точни­ка дан­ных

IPV6_DST_ADDR

IPv6 ад­рес при­ем­ни­ка дан­ных

IPV6_SRC_MASK

Дли­на мас­ки IPv6 ис­точни­ка дан­ных

IPV6_DST_MASK

Дли­на мас­ки IPv6 при­ем­ни­ка дан­ных

IPV6_FLOW_LA­BEL

Яр­лык по­тока IPv6, как оп­ре­деле­но в RFC 2460

ICMP_TY­PE

Тип па­кета меж­се­тево­го про­токо­ла уп­равля­ющих со­об­ще­ний (In­ternet Cont­rol Mes­sa­ge Pro­tocol - ICMP); вы­водят­ся как: ((ICMP Ty­pe*256) + ICMP co­de)

MUL_IGMP_TY­PE

Тип па­кета про­токо­ла уп­равле­ния груп­па­ми Ин­тернет (In­ternet Gro­up Ma­nage­ment Pro­tocol - IGMP)

SAMP­LING_IN­TERVAL

Ис­поль­зу­ет­ся для вы­бороч­но­го по­тока NetF­low. Час­то­та, с ко­торой вы­бира­ют­ся па­кетыТ.е. 100 бу­дет оз­на­чать, что вы­бира­ет­ся каж­дый 100-й па­кет.

SAMP­LING_AL­GO­RITHM

Тип ал­го­рит­ма, ис­поль­зу­емо­го для вы­бор­ки NetF­low: 0х01 — де­тер­ми­ниро­ван­ная вы­бор­ка; 0х02 — слу­чай­ная вы­бор­ка.

FLOW_AC­TI­VE_TI­ME­OUT

Ве­личи­на тай­ма­ута (в се­кун­дах) для за­писей не­ак­тивно­го по­тока в кэш NetF­low.

FLOW_INAC­TI­VE_TI­ME­OUT

Ве­личи­на тай­ма­ута (в се­кун­дах) для за­писей не­ак­тивно­го по­тока в NetF­low кэ­ше.

EN­GI­NE_TY­PE

Тип по­тока ком­му­таци­он­ной ма­шины: RP=0, VIP/Li­necard=1

EN­GI­NE_ID

Иден­ти­фика­тор ком­му­таци­он­ной ма­шины

TO­TAL_BY­TES_EXP

Счет­чик с дли­ной N x 8 бит для байт для ко­личест­ва байт экс­пор­ти­ру­емых До­меном Наб­лю­дения

TO­TAL_PKTS_EXP

Счет­чик с дли­ной N x 8 бит для байт для ко­личест­ва па­кетов экс­пор­ти­ру­емых До­меном Наб­лю­дения

TO­TAL_FLOWS_EXP

Счет­чик с дли­ной N x 8 бит для байт для ко­личест­ва по­токов экс­пор­ти­ру­емых До­меном Наб­лю­дения

IPV4_SRC_PRE­FIX

Пре­фикс ад­ре­са IPv4 ис­точни­ка (спе­ци­аль­но для ар­хи­тек­ту­ры Ca­talyst)

IPV4_DST_PRE­FIX

Пре­фикс ад­ре­са IPv4 при­ем­ни­ка (спе­ци­аль­но для ар­хи­тек­ту­ры Ca­talyst)

MPLS_TOP_LA­BEL_TY­PE

MPLS Top La­bel Ty­pe: 0x00 UNK­NOWN 0x01 TE-MIDPT

0x02 ATOM 0x03 VPN 0x04 BGP 0x05 LDP

MPLS_TOP_LA­BEL_IP_ADDR

Пе­ре­ад­ре­су­емый Эк­ви­валент­ный Класс (For­warding Equi­valent Class) со­от­ветс­тву­ющий верх­ней мет­ки MPLS

FLOW_SAMP­LER_ID

Иден­ти­фика­тор, по­казан­ный в “show flow-samp­ler”

FLOW_SAMP­LER_MO­DE

Тип ал­го­рит­ма, ис­поль­зу­емо­го для вы­бороч­ных дан­ных: 0х02 слу­чай­ный вы­бор. Ис­поль­зу­ет­ся сов­мест­но с FLOW_SAMP­LER_MO­DE

FLOW_SAMP­LER_RAN­DOM_IN­TERVAL

Па­кет­ный ин­тервал, с ко­торым осу­щест­вля­ет­ся вы­бор­ка. Ис­поль­зу­ет­ся сов­мест­но с FLOW_SAMP­LER_MO­DE

MIN_TTL

Ми­нималь­ное вре­мя жиз­ни па­кетов (TTL) для вхо­дяще­го по­тока.

MAX_TTL

Мак­си­маль­ное вре­мя жиз­ни па­кетов (TTL) для ис­хо­дяще­го по­тока.

IPV4_IDENT

Иден­ти­фика­ци­он­ное по­ле IPv4.

DST_TOS

Байт ти­па сер­ви­са, ус­та­нав­ли­ва­емый для ис­хо­дяще­го ин­терфей­са.

IN_SRC_MAC

МАС ад­рес вхо­дяще­го ис­точни­ка

OUT_DST_MAC

МАС ад­рес ис­хо­дяще­го при­ем­ни­ка

SRC_VLAN

Иден­ти­фика­тор вир­ту­аль­ной ЛВС, свя­зан­ный с вхо­дящим ин­терфей­сом

DST_VLAN

Иден­ти­фика­тор вир­ту­аль­ной ЛВС, свя­зан­ный с ис­хо­дящим ин­терфей­сом

IP_PRO­TOCOL_VER­SI­ON

Вер­сия Ин­тернет Про­токо­ла. Зна­чение 4 — для IPv4, и 6 — для IPv6. Ес­ли от­сутс­тву­ет в шаб­ло­не, зна­чит, ис­поль­зу­ет­ся вер­сия 4.

DI­REC­TI­ON

Нап­равле­ние по­тока: 0 — вхо­дящий по­ток, 1 — ис­хо­дящий по­ток.

IPV6_NEXT_HOP

IPv6 ад­рес для марш­ру­тиза­тора сле­ду­юще­го пе­рехо­да (скач­ка).

BPG_IPV6_NEXT_HOP

Ipv6 ад­рес марш­ру­тиза­тора сле­ду­юще­го пе­рехо­да в BGP до­мене.

IPV6_OP­TI­ON_HE­ADERS

Би­тово-ко­диру­емое по­ле, иден­ти­фици­ру­ющее до­пол­ни­тель­ные за­голов­ки IPv6, об­на­ружен­ные в по­токе.

MPLS_LA­BEL_1

MPLS мет­ка (яр­лык) на 1-й по­зиции в сте­ке. По­ле со­дер­жит в се­бе: 20 бит - MPLS мет­ки, 3 EXP (экс­пе­римен­таль­ных) би­та и 1 S бит (ко­нец сте­ка).

MPLS_LA­BEL_2

MPLS мет­ка (яр­лык) на 2-й по­зиции в сте­ке. По­ле со­дер­жит в се­бе: 20 бит - MPLS мет­ки, 3 EXP (экс­пе­римен­таль­ных) би­та и 1 S бит (ко­нец сте­ка).

MPLS_LA­BEL_3

MPLS мет­ка (яр­лык) на 3-й по­зиции в сте­ке. По­ле со­дер­жит в се­бе: 20 бит - MPLS мет­ки, 3 EXP (экс­пе­римен­таль­ных) би­та и 1 S бит (ко­нец сте­ка).

MPLS_LA­BEL_4

MPLS мет­ка (яр­лык) на 4-й по­зиции в сте­ке. По­ле со­дер­жит в се­бе: 20 бит - MPLS мет­ки, 3 EXP (экс­пе­римен­таль­ных) би­та и 1 S бит (ко­нец сте­ка).

MPLS_LA­BEL_5

MPLS мет­ка (яр­лык) на 5-й по­зиции в сте­ке. По­ле со­дер­жит в се­бе: 20 бит - MPLS мет­ки, 3 EXP (экс­пе­римен­таль­ных) би­та и 1 S бит (ко­нец сте­ка).

MPLS_LA­BEL_6

MPLS мет­ка (яр­лык) на 6-й по­зиции в сте­ке. По­ле со­дер­жит в се­бе: 20 бит - MPLS мет­ки, 3 EXP (экс­пе­римен­таль­ных) би­та и 1 S бит (ко­нец сте­ка).

MPLS_LA­BEL_7

MPLS мет­ка (яр­лык) на 7-й по­зиции в сте­ке. По­ле со­дер­жит в се­бе: 20 бит - MPLS мет­ки, 3 EXP (экс­пе­римен­таль­ных) би­та и 1 S бит (ко­нец сте­ка).

MPLS_LA­BEL_8

MPLS мет­ка (яр­лык) на 8-й по­зиции в сте­ке. По­ле со­дер­жит в се­бе: 20 бит - MPLS мет­ки, 3 EXP (экс­пе­римен­таль­ных) би­та и 1 S бит (ко­нец сте­ка).

MPLS_LA­BEL_9

MPLS мет­ка (яр­лык) на 9-й по­зиции в сте­ке. По­ле со­дер­жит в се­бе: 20 бит - MPLS мет­ки, 3 EXP (экс­пе­римен­таль­ных) би­та и 1 S бит (ко­нец сте­ка).

MPLS_LA­BEL_10

MPLS мет­ка (яр­лык) на 10-й по­зиции в сте­ке. По­ле со­дер­жит в се­бе: 20 бит - MPLS мет­ки, 3 EXP (экс­пе­римен­таль­ных) би­та и 1 S бит (ко­нец сте­ка).

IN_DST_MAC

МАС ад­рес вхо­дяще­го при­ем­ни­ка

OUT_SRC_MAC

МАС ад­рес ис­хо­дяще­го ис­точни­ка

IF_NA­ME

Сок­ра­щен­ное имя ин­терфей­са, нап­ри­мер: “FE1/0”

IF_DESC

Пол­ное имя ин­терфей­са, нап­ри­мер: “'Fas­tEther­net 1/0”

SAMP­LER_NA­ME

Имя вы­бор­ки по­тока

IN_ PER­MA­NENT _BY­TES

Счет­чик те­куще­го бай­та для пос­то­ян­но­го по­тока

IN_ PER­MA­NENT _PKTS

Счет­чик те­куще­го па­кета для пос­то­ян­но­го по­тока

FRAG­MENT_OFF­SET

Ве­личи­на фраг­мент­но­го сме­щения для фраг­менти­ру­емых IP па­кетов

FOR­WARDING STA­TUS

Сос­то­яние пе­ре­ад­ре­сации, ко­торое ко­диру­ет­ся 2-я ле­выми би­тами в бай­те, а ос­таль­ные 6 бит — ука­зыва­ют код при­чины пе­ре­ад­ре­сации.

Как вид­но из таб­ли­цы 2, чис­ло по­лей в про­токо­ле NetF­low вер­сии 9 су­щест­вен­но рас­ши­рено по срав­не­нию с вер­си­ей 5, но это рас­ши­рение в пер­вую оче­редь свя­зано с па­рамет­ра­ми марш­ру­тиза­ции про­токо­ла BGP и про­токо­ла муль­тип­ро­токоль­ной ком­му­тацииMPLS. Так­же вклю­ча­ет­ся ин­форма­ция по МАС ад­ре­сам, что мо­жет быть в ря­де слу­ча­ев ин­те­рес­но для ана­лиза. Ес­ли поль­зо­ватель не за­ин­те­ресо­ван в по­доб­ных по­лях, то он мо­жет ог­ра­ничить­ся ис­поль­зо­вани­ем NetF­low про­кола вер­сии 5.

 

NetF­low кол­лекто­ры и прог­раммы ана­лиза

В нас­то­ящее вре­мя су­щест­ву­ет це­лый ряд прог­рамм, ко­торые вы­пол­ня­ют сбор и об­ра­бот­ку NetF­low ин­форма­ции.

На­ша ком­па­ния, "Софт Пи Ай", го­това пред­ло­жить поль­зо­вате­лям ряд сво­их прог­рамм­ных ре­шений для NetF­low про­токо­ла.

Soft­PI Flow Col­lector 
Сис­те­ма Soft­PI Flow Col­lector пред­назна­чена для сбо­ра ин­форма­ции о се­тевых по­токах в фор­ма­тах NetF­low вер­сий 5 или 9 (Cis­co Sys­tems), RFlow и IP­FIX (RFC 5101, 5102), а так­же гиб­кой аг­ре­гации соб­ранной ин­форма­ции с пос­ле­ду­ющим сох­ра­нени­ем в хра­нили­ще од­но­го из трёх ти­пов: ба­за дан­ных Mic­ro­soft SQL, ба­за дан­ных MySQL или текс­то­вый файл, рас­по­ложен­ных на компьюте­рах с опе­раци­он­ны­ми сис­те­мами Win­dows XP/2003/Vis­ta/2008/7 (Mic­ro­soft). В слу­чае ис­поль­зо­вания в ка­чест­ве хра­нили­ща дан­ных Mic­ro­soft SQL Ser­ver 2008R2. в комп­лект пос­тавки вхо­дят спра­воч­ные ба­зы дан­ных IP про­токо­лов и IP пор­тов, а так­же на­бор от­че­тов, поз­во­ля­ющих про­из­во­дить ана­лиз ра­боты се­ти. Кро­ме это­го поль­зо­ватель мо­жет са­мос­то­ятель­но рас­ши­рить пе­речень тре­бу­емых от­че­тов, соз­дав их с по­мощью служ­бы от­четнос­ти SQL Ser­ver (SQL Ser­ver Re­por­ting Ser­vi­ces - SSRS), или мо­дер­ни­зиро­вать су­щест­ву­ющие.

Flan­sys   
Сис­те­ма Flan­sys пред­назна­чена для ана­лиза тра­фика в се­ти и мо­жет ис­поль­зо­вать­ся:

  • ад­ми­нист­ра­тора­ми се­ти — для мо­нито­рин­га раз­личных па­рамет­ров се­тевых уст­рой­ств и оп­ти­миза­ции ра­боты се­ти;
  • сот­рудни­ками служ­бы бе­зопас­ности — для сво­ев­ре­мен­но­го об­на­руже­ния не­жела­тель­но­го тра­фика и конт­ро­ля за сос­то­янием се­тевых уст­рой­ств;
  • обыч­ны­ми поль­зо­вате­лями — для ана­лиза се­тево­го тра­фика собс­твен­но­го компьюте­ра и вы­яв­ле­ния ано­малий.

Сис­те­ма Flan­sys со­дер­жит в се­бе:

  • NetF­low кол­лектор,
  • хра­нили­ще NetF­low ин­форма­ции на ба­зе Mic­ro­soft SQL Ser­ver,
  • прог­рамму Flan­sys, обес­пе­чива­ющую мо­нито­ринг и ана­лиз как ин­форма­ции в ре­аль­ном вре­мени, так и ра­нее на­коп­ленной,
  • служ­ба Flan­sys Alarm пред­назна­чена для ана­лиза ин­форма­ции о се­тевых по­токах в ре­жиме ре­аль­но­го вре­мени и опо­веще­ния о за­дан­ных се­тевых со­бытия или вы­пол­не­ния поль­зо­ватель­ско­го сце­нария.

Бил­линго­вая сис­те­ма Ta­ris­co­pe 
Ta­ris­co­pe обес­пе­чива­ет учет ус­луг, ока­зан­ных в IP се­тях на ос­но­вании дан­ных про­токо­ла NetF­low (вклю­ча­ет в се­бя NetF­low кол­лектор), ве­дение дан­ных по або­нен­там, выс­тавле­ние сче­тов и дру­гих до­кумен­тов, учет кар­то­чек пред­ва­ритель­ной оп­ла­ты и дру­гие ус­лу­ги.

fSo­nar   
Прог­рамма fSo­nar яв­ля­ет­ся NetF­low сен­со­ром и пред­назна­чена для ге­нера­ции по­тока дан­ных в фор­ма­те про­токо­ла NetF­low вер­сии 5 или 9 о се­тевой ак­тивнос­ти на од­ном или груп­пе се­тевых ин­терфей­сов компьюте­ра, ра­бота­юще­го под уп­равле­ни­ем опе­раци­он­ной сис­те­мы Win­dows (Mic­ro­soft).

 

Ли­тера­тура

  1. RFC3330 - Spe­ci­al-Use IPv4 Add­res­ses.

  2. NetF­low Ser­vi­ces So­lu Gu­ide.ti­ons

  3. Cis­co IOS NetF­low Ver­si­on 9 Flow-Re­cord For­mat.