IP Flow In­forma­ti­on Ex­port мож­но пе­ревес­ти как «Экс­порт ин­форма­ции по IP по­току». Да­лее для крат­кости бу­дем ис­поль­зо­вать сок­ра­щение IP­FIX.

Про­токол IP­FIX фак­ти­чес­ки яв­ля­ет­ся раз­ви­ти­ем NetF­low про­токо­ла вер­сии 9 ком­па­нии Cis­co Sys­tems. Об осо­бен­ностях про­токо­ла NetF­low и его раз­личных вер­си­ях мож­но про­читать в статье ком­па­нии Soft­PI: "Что та­кое NetF­low" [1].

Про­токол IP­FIX при­нят Спе­ци­аль­ной ко­мис­си­ей ин­тернет-раз­ра­боток (In­ternet En­gi­ne­ering Task For­ce, IETF) и опуб­ли­кован в ря­де RFC до­кумен­тов, пе­речень ко­торых при­веден в таб­ли­це 1.

Таб­ли­ца 1

До­кумент Наз­ва­ние Крат­кое опи­сание
RFC 3917 Тре­бова­ния к IP­FIX

Re­qu­ire­ments for IP Flow In­forma­ti­on Ex­port (IP­FIX)

Да­ют­ся ос­новные оп­ре­деле­ния, ис­поль­зу­емые для IP­FIX про­токо­ла: IP по­ток, точ­ка наб­лю­дения, из­ме­ритель­ный про­цесс, по­токо­вая за­пись и дру­гие. Расс­мат­ри­ва­ют­ся при­ложе­ния, ко­торые мо­гут ис­поль­зо­вать IP­FIX: учет ис­поль­зо­вания се­тевых ре­сур­сов, ана­лиз тра­фика, обс­лу­жива­ние тра­фика, об­на­руже­ние се­тевых атак и втор­же­ний, мо­нито­ринг ка­чест­ва сер­ви­са (QoS). Расс­мат­ри­ва­ют­ся па­рамет­ры, для вы­деле­ния по­токов, тре­бова­ния к про­цес­сам из­ме­рения, экс­пор­та, кон­фи­гура­ции про­цес­сов и об­щие тре­бова­ния.
RFC 5101 Опи­сание IP­FIX про­токо­ла

Spe­cifi­cati­on of the IP Flow In­forma­ti­on Ex­port (IP­FIX) Pro­tocol for the Exc­han­ge of IP Traf­fic Flow In­forma­ti­on

Опи­сыва­ет­ся фор­мат IP­FIX со­об­ще­ния, свя­зи с ин­форма­ци­он­ной мо­делью, транс­пор­тные про­токо­лы (SCTP, UDP, TCP), тре­бова­ния по за­щите.
RFC 5102 Ин­форма­ци­он­ная мо­дель для IP­FIX

In­forma­ti­on Mo­del for IP Flow In­forma­ti­on Ex­port

Опи­сыва­ют­ся ти­пы ис­поль­зу­емых по­лей для ин­форма­ци­он­ных эле­мен­тов IPIX, струк­ту­ра ин­форма­ци­он­ных эле­мен­тов, и при­водит­ся опи­сание каж­до­го ин­форма­ци­он­но­го эле­мен­та.
RFC 5103 Экс­порт дву­нап­равлен­но­го по­тока ис­поль­зуя IP­FIX.

Bi­direc­ti­onal Flow Ex­port Using IP Flow In­forma­ti­on Ex­port (IP­FIX)

Расс­мат­ри­ва­ет­ся экс­пор­тный ме­тод для IP­FIX про­токо­ла, ос­но­ван­ный на по­нятии дву­нап­равлен­но­го по­тока.
RFC 5153 Ре­комен­да­ции по внед­ре­нию IP­FIX

IP Flow In­forma­ti­on Ex­port (IP­FIX) Imp­le­men­ta­ti­on Gu­ide­lines

Да­ют­ся ре­комен­да­ции по уп­равле­нию шаб­ло­нами, экс­пор­тным про­цес­сом, про­цес­сом сбо­ра дан­ных, по ис­поль­зо­ванию транс­пор­тно­го про­токо­ла, ре­комен­да­ции по бе­зопас­ности и рас­ши­рению ин­форма­ци­он­ной мо­дели.
RFC 5470 Ар­хи­тек­ту­ра IP­FIX

Arc­hi­tec­tu­re for IP Flow In­forma­ti­on Ex­port

Оп­ре­деля­ет­ся ар­хи­тек­ту­ра для мо­нито­рин­га, из­ме­рения и экс­пор­та ин­форма­ции по IP по­токам. Опи­сыва­ют­ся от­дель­ные ком­по­нен­ты ар­хи­тек­ту­ры и их функ­ции.
RFC 5471 Ре­комен­да­ции для тес­ти­рова­нию IP­FIX

Gu­ide­lines for IP Flow In­forma­ti­on Ex­port (IP­FIX) Tes­ting

Ука­заны тре­бова­ния по тес­ти­рова­нию сис­те­мы сбо­ра ин­форма­ции о IP по­токах на ба­зе про­токо­ла IP­FIX.
RFC 5472 При­мени­мость IP­FIX

IP Flow In­forma­ti­on Ex­port (IP­FIX) App­li­cabi­lity

Опи­сыва­ет­ся, как ти­повые при­ложе­ния мо­гут ис­поль­зо­вать IP­FIX про­токол, по­каза­ны воз­можнос­ти и ог­ра­ниче­ния это­го про­токо­ла. Так­же расс­мат­ри­ва­ют­ся воп­ро­сы вза­имос­вя­зи IP­FIX с дру­гими про­токо­лами (PSAMP, RMON, IPPM, AAA).
RFC 5473 Умень­ше­ние из­бы­точ­ности IP­FIX и вы­бор­ка па­кетов

Re­ducing Re­dun­dancy in IP Flow In­forma­ti­on Ex­port (IP­FIX) and Pac­ket Samp­ling (PSAMP) Re­ports

Опи­сыва­ет­ся про­токол вы­бор­ки па­кетов для умень­ше­ния по­лосы про­пус­ка­ния, не­об­хо­димой для экс­пор­та ин­форма­ции о по­токах с ис­поль­зо­вани­ем IP­FIX про­токо­ла.
RFC 5474 Струк­ту­ра для вы­бор­ки па­кетов и от­четнос­ти

A Fra­mework for Pac­ket Se­lec­ti­on and Re­por­ting

Опи­сыва­ет­ся струк­ту­ра для про­токо­ла вы­бор­ки па­кетов (PSAMP). Функ­ци­ями это­го про­токо­ла яв­ля­ют­ся вы­бор па­кетов из по­тока в со­от­ветс­твии с стан­дарти­зиро­ван­ны­ми филь­тра­ми, фор­ми­рова­ние ин­форма­ции по отоб­ранным па­кетам и экс­порт этой ин­форма­ции на кол­лектор.
RFC 5475 Тех­но­логии вы­бор­ки и филь­тра­ции для от­бо­ра IP па­кетов

Samp­ling and Fil­te­ring Tech­ni­qu­es for IP Pac­ket Se­lec­ti­on

Опи­сыва­ет­ся тех­но­логии вы­бор­ки и филь­тра­ции для IP па­кетов. Да­ет­ся клас­си­фика­ция схем вы­бор­ки и оп­ре­деля­ют­ся па­рамет­ры, для опи­сания на­ибо­лее об­щих схем вы­бор­ки па­кетов.
RFC 5610 Экс­порт ти­повой ин­форма­ции для ин­форма­ци­он­ных эле­мен­тов IP­FIX

Ex­porting Ty­pe In­forma­ti­on for IP Flow In­forma­ti­on Ex­port (IP­FIX) In­forma­ti­on Ele­ments

Опи­сыва­ет­ся об­щий ме­ханизм для ко­диро­вания пол­но­го на­бора па­рамет­ров, дос­тупных для оп­ре­деле­ния ин­форма­ци­он­ных эле­мен­тов внут­ри ин­форма­ци­он­ной мо­дели IP­FIX.
RFC 5655 Спе­цифи­кация фор­ма­та фай­ла для IP­FIX

Spe­cifi­cati­on of the IP Flow In­forma­ti­on Ex­port (IP­FIX) Fi­le For­mat

Опи­сыва­ет­ся фор­мат фай­ла для хра­нения по­токо­вых дан­ных IP­FIX про­токо­ла.
RFC 5815 Оп­ре­деле­ние уп­равля­емых объек­тов для IP­FIX

De­fini­ti­ons of Ma­naged Ob­jects for IP Flow In­forma­ti­on Ex­port

Опи­сыва­ют­ся два MIB мо­дуля для мо­нито­рин­га IP­FIX уст­рой­ств, вклю­чая экс­пор­те­ров и кол­лекто­ров, ко­торые со­дер­жат стан­дарти­зиру­емые ме­тоды вы­бор­ки па­кетов.
RFC 5982 Пос­редник IP­FIX: пос­та­нов­ка за­дачи

IP Flow In­forma­ti­on Ex­port (IP­FIX) Me­di­ation: Prob­lem Sta­tement

Ин­форма­ция IP­FIX про­токо­ла мо­жет ис­поль­зо­вать­ся од­новре­мен­но раз­личны­ми при­ложе­ни­ями. Но эти при­ложе­ния предъяв­ля­ют раз­личные тре­бова­ния к из­ме­ритель­но­му про­цес­су. Для ре­шения та­кой проб­ле­мы пред­ла­га­ет­ся ис­поль­зо­вание IP­FIX пос­редни­ка (Me­di­ation), опи­сание ко­торо­го и при­водит­ся в дан­ном до­кумен­те.

В RFC 3917 да­ет­ся оп­ре­деле­ние IP по­тока:

IP по­ток — это на­бор IP па­кетов, про­ходя­щих че­рез точ­ку наб­лю­дения в се­ти за оп­ре­делен­ный вре­мен­ной ин­тервал. Все па­кеты, при­над­ле­жащие к оп­ре­делен­но­му по­току име­ют пе­речень об­щих свой­ств. Каж­дое из свой­ств оп­ре­делят­ся как ре­зуль­тат при­мене­ния функ­ции к зна­чени­ям   из:

  1. од­но­го или бо­лее па­кет­ных по­лей за­голов­ка (нап­ри­мер, IP ад­рес при­ем­ни­ка па­кетов), по­ля транс­пор­тно­го за­голов­ка (нап­ри­мер, но­мер пор­та при­ем­ни­ка па­кетов) или по­ля за­голов­ка при­ложе­ния (нап­ри­мер, по­ля за­голов­ка RTP про­токо­ла).
  2. од­но­го или бо­лее па­рамет­ра са­мого па­кета (нап­ри­мер, чис­ло MPLS ме­ток и т.п.).
  3. од­но­го или бо­лее по­лей, изв­ле­чен­ных из те­ла па­кета (нап­ри­мер, IP ад­рес сле­ду­юще­го марш­ру­тиза­тора (hop), ис­хо­дящий ин­терфейс и т.п.).

Па­кет счи­та­ет­ся при­над­ле­жащим к по­току, ес­ли он пол­ностью со­от­ветс­тву­ет всем па­рамет­рам по­тока.

При­мер се­тево­го по­тока че­рез се­тевой ин­терфейс 1 из IP пор­та 61418 с IP ад­ре­сом 10.10.5.24 на IP порт 5060 се­тево­го уст­рой­ства с IP ад­ре­сом 195.5.0.118 с ис­поль­зо­вани­ем про­токо­ла UDP и ти­пом сер­ви­са, рав­ным 0, по­казан на ри­сун­ке 1.

При­ведем оп­ре­деле­ния еще нес­коль­ких по­нятий из RFC 3917, ко­торые час­то встре­ча­ют­ся в до­кумен­тах по IP­FIX.

Точ­ка наб­лю­дения - это мес­то в се­ти, в ко­торой про­ис­хо­дит отс­ле­жива­ние IP па­кетов. В ка­чест­ве при­меров мож­но при­вес­ти: порт марш­ру­тиза­тора, на­бор ин­терфей­сов (фи­зичес­ких или ло­гичес­ких) марш­ру­тиза­тора, се­тевой ин­терфейс компьюте­ра и т.п.

Про­цесс из­ме­рения ге­нери­ру­ет по­токо­вые за­писи. Вход­ной ин­форма­ци­ей для это­го про­цес­са яв­ля­ют­ся па­кет­ные за­голов­ки, наб­лю­да­емые в точ­ке наб­лю­дения и те­ло (со­дер­жи­мое) па­кета. Про­цесс из­ме­рения сос­то­ит из на­бора функ­ций, ко­торые вклю­ча­ют зах­ват, оп­ре­деле­ние вре­мен­ных па­рамет­ров, вы­бор­ку, клас­си­фика­цию па­кет­ных за­голов­ков и ад­ми­нист­ри­рова­ние по­токо­вых за­писей. Ад­ми­нист­ри­рова­ние по­токо­вых за­писей мо­жет вклю­чать соз­да­ние но­вых за­писей, об­новле­ние уже су­щест­ву­ющих, вы­чис­ле­ние ста­тис­ти­чес­ких па­рамет­ров по­тока, изв­ле­чение до­пол­ни­тель­ных по­токо­вых па­рамет­ров, оп­ре­деле­ние окон­ча­ния по­тока, пе­реда­ча по­токо­вых за­писей в экс­пор­тный про­цесс и уда­ление по­токо­вых за­писей.

По­токо­вая за­пись со­дер­жит ин­форма­цию о конк­рет­ном по­токе, па­рамет­ры ко­торо­го оп­ре­деля­лись в точ­ке наб­лю­дения.

Экс­пор­тный про­цесс по­сыла­ет по­токо­вые за­писи на один или бо­лее кол­лектор­ных про­цес­сов.

Кол­лектор­ный про­цесс по­луча­ет по­токо­вые за­писи от од­но­го или бо­лее экс­пор­тных про­цес­сов. Кол­лектор­ный про­цесс мо­жет сох­ра­нять по­лучен­ные по­токо­вые за­писи для их даль­ней­шей об­ра­бот­ки. Прог­раммы, ко­торые вы­пол­ня­ют кол­лектор­ный про­цесс на­зыва­ют­ся кол­лекто­рами (IP­FIX кол­лекто­рами или NetF­low кол­лекто­рами).

 

Рисунок 1

Сфе­ры при­мене­ния IP­FIX

Ос­новные сфе­ры при­мене­ния IP­FIX про­токо­ла пе­речис­ле­ны в RFC 3917 и бо­лее под­робно расс­мат­ри­ва­ют­ся в RFC 5472. Ос­новны­ми сфе­рами при­мене­ния это­го про­токо­ла счи­та­ют­ся:

  • учет ис­поль­зо­вания се­тевых ре­сур­сов,
  • ана­лиз тра­фика,
  • ад­ми­нист­ри­рова­ние тра­фика,
  • об­на­руже­ние се­тевых атак и втор­же­ний,
  • мо­нито­ринг ка­чест­ва сер­ви­са (QoS).

Расс­мот­рим каж­дое из них бо­лее под­робно.

 Учет ис­поль­зо­вания се­тевых ре­сур­сов

Ис­поль­зо­вание IP­FIX за­писей обес­пе­чива­ет точ­ную ин­форма­цию по при­нято­му и пе­редан­но­му се­тево­му тра­фику конк­рет­ным поль­зо­вате­лем се­тевых ре­сур­сов. Од­на­ко, в боль­шинс­тве слу­ча­ев IP­FIX про­токол, как и NetF­low, не поз­во­ля­ют оп­ре­делить ка­кое конк­рет­но при­ложе­ние ис­поль­зо­валось поль­зо­вате­лем. В то­же вре­мя у ин­тернет про­вай­де­ров су­щест­ву­ет тен­денция к пре­дос­тавле­нию без­ли­мит­но­го дос­ту­па с при­мене­ни­ем до­пол­ни­тель­ных та­рифов за поль­зо­вание ка­кими-то спе­ци­аль­ны­ми ин­тернет-сер­ви­сами (IPTV, IP те­лефо­ния, ви­део по зап­ро­су и т.п.). По­это­му ис­поль­зо­вание IP­FIX про­токо­ла в бил­линго­вых це­лях ак­ту­аль­но толь­ко при ис­поль­зо­вании та­рифов за при­нятый/пе­редан­ных объем дан­ных.

Сог­ласно RFC 5472 учет ис­поль­зо­ван­ных се­тевых ре­сур­сов мо­жет ос­но­вывать­ся на по­токах меж­ду IP ад­ре­сами или на клас­си­фици­ру­емых сер­ви­сах. В пер­вом слу­чае ис­поль­зу­ют­ся сле­ду­ющие ин­форма­ци­он­ные эле­мен­ты (по­ля):

  • IP ад­рес ис­точни­ка по­тока (so­ur­ce­IPv4Add­ress или so­ur­ce­IPv6Add­ress – при ис­поль­зо­вании, со­от­ветс­твен­но, IPv4 или IPv6)*,
  • IP ад­рес при­ем­ни­ка по­тока (des­ti­nati­onIPv4Add­ress или des­ti­nati­onIPv6Add­ress — при ис­поль­зо­вании, со­от­ветс­твен­но, IPv4 или IPv6)*,
  • тип ис­поль­зу­емо­го про­токо­ла (pro­toco­lIden­ti­fi­er),
  • но­мера пор­тов ис­точни­ка и при­ем­ни­ка (udp­So­ur­ce­Port, udp­Des­ti­nati­on­Port)**.

* В RFC 5472 упо­мина­ют­ся толь­ко по­ля для IPv4, по­чему-то со­вер­шенно за­быв об IPv6, ко­торый на мо­мент опуб­ли­кова­ния это­го стан­дарта (март 2009) уже ис­поль­зо­вал­ся в ря­де стран, осо­бен­но в ази­атс­ких.

** Для бил­линго­вых це­лей ин­форма­ция о но­мерах пор­тов, как пра­вило, не ак­ту­аль­на, так как да­леко не всег­да од­нознач­но мож­но точ­но оп­ре­делить по но­меру пор­та при­ложе­ние (сер­вис), ко­торое его ис­поль­зу­ет. По­это­му, как пра­вило, бил­линго­выми сис­те­мами ис­поль­зу­ет­ся об­щий тра­фик без его де­ления на по­токи по приз­на­ку ис­поль­зо­вания конк­рет­но­го пор­та. И так­же стран­но, что ав­то­ры стан­дарта RFC 5472 пред­ла­га­ют ис­поль­зо­вать но­мера пор­тов толь­ко UDP про­токо­ла, не упо­миная, нап­ри­мер, TCP про­токол.

Во вто­ром слу­чае долж­ны ис­поль­зо­вать­ся сле­ду­ющие ин­форма­ци­он­ные эле­мен­ты:

точ­ка ко­да диф­фе­рен­ци­рован­ных ус­луг (Dif­fe­ren­ti­ated Ser­vi­ces Co­de Po­int) — (ip­Diff­Ser­vCo­dePo­int) и IP ад­ре­са ис­точни­ка и при­ем­ни­ка (so­ur­ce­IPv4Add­ress, des­ti­nati­onIPv4Add­ress).

Ба­зовы­ми эле­мен­та­ми, не­об­хо­димы­ми для уче­та пре­дос­тавлен­ных се­тевых ре­сур­сов в обо­их слу­ча­ях яв­ля­ют­ся ко­личест­во пе­редан­ных в по­токе па­кетов, ко­торые отоб­ра­жа­ют­ся в ин­форма­ци­он­ных эле­мен­тах pac­ketTo­tal­Co­unt, oc­tetTo­tal­Co­unt.

Опи­сание всех ис­поль­зу­емых ин­форма­ци­он­ных эле­мен­тов в IP­FIX про­токо­ле смот­ри­те да­лее в этой статье (таб­ли­цы 2 и 3).

Сле­ду­ет так­же за­метить, что ав­то­рами RFC 5472 счи­та­ет­ся, что IP­FIX про­токол не обес­пе­чива­ет дос­та­точ­ной на­деж­ности, ко­торая оп­ре­деле­на для бил­линго­вых сис­тем в RFC 2975 [2] и он име­ет ряд ог­ра­ниче­ний:

Воз­можность по­тери за­писей. IP­FIX про­токол мо­жет ис­поль­зо­вать в ка­чест­ве транс­пор­тно­го про­токо­ла: UDP, TCP, SCTP. Учи­тывая то, что в UDP про­токо­ле от­сутс­тву­ет подт­вер­жде­ние дос­тавки па­кетов, ре­комен­ду­ет­ся ис­поль­зо­вать про­токо­лы TCP или SCPT. В то­же вре­мя боль­шинс­тво из­вест­ных про­из­во­дите­лей ис­поль­зу­ют в сво­их уст­рой­ствах для пе­реда­чи IP­FIX дан­ных толь­ко UDP про­токол. Нап­ри­мер, в ком­му­тато­рах Et­hernet Ro­uting Switch 4500, 5000, 8300, 9600 (Ava­ya – Nor­tel) по сос­то­янию на 2011 год для экс­пор­та IP­FIX дан­ных ис­поль­зу­ет­ся UDP про­токол че­рез 9995 порт [3, 4].

Для справ­ки за­метим, что в со­от­ветс­твии с RFC 5101 пе­реда­ча IP­FIX дан­ных долж­на вы­пол­нять с по­мощью од­но­го из про­токо­лов: SCTP, TCP, UDP, ис­поль­зуя порт 4739 или 4740 — для за­щищен­но­го со­еди­нения. При этом, ес­ли для пе­реда­чи дан­ных ис­поль­зу­ет­ся UDP про­токол, то он дол­жен вы­пол­нять­ся вмес­те с DTLS про­токо­лом (Da­tag­ram Trans­port La­yer Pro­tocol). Ес­ли для пе­реда­чи дан­ных ис­поль­зу­ет­ся TCP про­токол, то он дол­жен вы­пол­нять­ся вмес­те с TLS про­токо­лом (Trans­port La­yer Se­curi­ty).

Се­тевые сбои. IP­FIX про­токол поз­во­ля­ет ис­поль­зо­вание нес­коль­ких Кол­лекто­ров для од­но­го Экс­пор­те­ра, но не оп­ре­деля­ет ни­каких тре­бова­ний по ис­поль­зо­ванию мно­жест­ва кол­лекто­ров для их ус­той­чи­вой ра­боты в слу­чае се­тевых сбо­ев.

Об­на­руже­ние и иск­лю­чение дуб­ли­ру­ющих за­писей. По­доб­ная функ­ция не под­держи­ва­ет­ся IP­FIX про­токо­лом.

Подт­вер­жде­ние о при­еме на уров­не при­ложе­ний. IP­FIX про­токол не под­держи­ва­ет конт­ро­ля за про­цес­са­ми из­ме­рения и экс­пор­та при­ложе­ни­ями выс­ше­го уров­ня. Подт­вер­жде­ние о при­еме на уров­не при­ложе­ния яв­ля­ет­ся не­об­хо­димым для ин­форми­рова­ния Экс­пор­те­ра в слу­чае, ког­да при­ложе­ние не мо­жет об­ра­ботать дан­ные, экс­пор­ти­ру­емые с ис­поль­зо­вани­ем IP­FIX про­токо­ла. Та­кая функ­ци­ональ­ность не под­держи­ва­ет­ся.

 Ана­лиз тра­фика

Ин­форма­ция, соб­ранная с ис­поль­зо­вани­ем IP­FIX про­токо­ла за боль­шой пе­ри­од вре­мени мо­жет ис­поль­зо­вать­ся для отс­ле­жива­ния и прог­но­зиро­вания рос­та се­ти и ее про­из­во­дитель­нос­ти. Это яв­ля­ет­ся не­об­хо­димой для ана­лиза тен­денций в се­ти и се­тево­го пла­ниро­вания. Па­рамет­ры, ко­торые предс­тав­ля­ют ин­те­рес, оп­ре­деля­ют­ся конк­рет­ным объек­том ана­лиза. В ка­чест­ве та­ких па­рамет­ров мож­но ука­зать: про­дол­жи­тель­ность по­тока, объем пе­редан­ной в по­токе ин­форма­ции, ис­поль­зу­емые про­токо­лы и сер­ви­сы (пор­ты), ко­личест­во па­кетов оп­ре­делен­но­го ти­па и дру­гие.

От­дель­ный ана­лиз ис­поль­зу­емых про­токо­лов и сер­ви­сов мо­жет быть вы­пол­нен пу­тем ус­та­нов­ки со­от­ветс­тву­ющих По­токо­вых Клю­чей. Про­токо­лы мо­гут быть раз­де­лены с по­мощью ин­форма­ци­он­но­го эле­мен­та (ИЭ): pro­toco­lIden­ti­fi­er.

Ин­форма­цию об ис­поль­зу­емых сер­ви­сах мож­но по­лучить из но­меров пор­тов (des­ti­nati­onT­ran­sport­Port, so­ur­ceTrans­por­tPort, udp­So­ur­ce­Port, udp­Des­ti­nati­on­Port, tcpSo­ur­ce­Port, tcpDes­ti­nati­on­Port). Ес­ли но­мера пор­та не­дос­та­точ­но для оп­ре­деле­ния ис­поль­зу­емо­го сер­ви­са, то для его оп­ре­деле­ния мо­жет пот­ре­бовать­ся ос­таль­ная часть па­кета.

Па­кет­ная заг­рузка мо­жет быть оп­ре­деле­на с ис­поль­зо­вани­ем ИЭ ip­Pa­yload­Packet­Secti­on.

Про­дол­жи­тель­ность по­тока мож­но вы­чис­лить сле­ду­ющим об­ра­зом:

flo­wEnd­Mic­ro­seconds -   flowS­tar­tMic­ro­seconds.

Вмес­то мик­ро­секунд мо­гут ис­поль­зо­вать­ся ана­логич­ные ИЭ с дру­гими еди­ница­ми из­ме­рения.

Чис­ло па­кетов и чис­ло байт (ок­те­тов) в по­токе мож­но оп­ре­делить на ос­но­вании ИЭ: pac­ketTo­tal­Co­unt, oc­tetTo­tal­Co­unt.

 Ад­ми­нист­ри­рова­ние тра­фика

Целью ад­ми­нист­ри­рова­ния тра­фика яв­ля­ет­ся оп­ти­миза­ция се­тевых ре­сур­сов и па­рамет­ров тра­фика. Ти­повы­ми па­рамет­ра­ми яв­ля­ют­ся:

–  про­пуск­ная спо­соб­ность ка­нала,

–  заг­рузка меж­ду оп­ре­делен­ны­ми се­тями, уз­ла­ми;

–  чис­ло, раз­ме­ры и точ­ки вхо­да/вы­хода ак­тивных по­токов;

–  марш­ру­тизи­ру­ющая ин­форма­ция.

Объемы по­токов в па­кетах и бай­тах мож­но по­лучить из ИЭ: pac­ketTo­tal­Co­unt и oc­tetTo­tal­Co­unt. Заг­рузка фи­зичес­ко­го ка­нала мо­жет быть по­луче­на бла­года­ря ис­поль­зо­ванию ИЭ (eg­ressIn­terfa­ce или ing­res­sInter­fa­ce) и по­токо­вых счет­чи­ков   pac­ketTo­tal­Co­unt и oc­tetTo­tal­Co­unt.

Заг­рузка меж­ду оп­ре­делен­ны­ми се­тевы­ми уз­ла­ми мо­жет быть по­луче­на по­доб­ным пу­тем, ес­ли ин­терфейс се­тево­го уз­ла по­луча­ет тра­фик толь­ко от од­но­го со­сед­не­го уз­ла. Ес­ли па­рамет­ры вхо­дяще­го ин­терфей­са яв­ля­ют­ся не­дос­та­точ­ны­ми для од­нознач­ной иден­ти­фика­ции со­сед­не­го уз­ла, сле­ду­ет ис­поль­зо­вать по­ля за­голов­ка IP па­кета (нап­ри­мер, so­ur­ce­MacAdd­ress), ко­торые мож­но до­бавить в ка­чест­ве по­токо­вых клю­чей.

Ин­форма­ци­он­ный эле­мент ob­servedF­low­To­tal­Co­unt обес­пе­чива­ет ин­форма­ци­ей о ко­личест­ве по­токов для наб­лю­да­емо­го до­мена с мо­мен­та пос­ледней ини­ци­али­зации из­ме­ритель­но­го про­цес­са. Ес­ли ана­лизи­ровать зна­чение это­го ИЭ че­рез оп­ре­делен­ные про­межут­ки вре­мени, то фак­ти­чес­ки мож­но оп­ре­делить ко­личест­во ак­тивных по­токов в те­чение этих вре­мен­ных про­межут­ков.

 Об­на­руже­ние се­тевых атак и втор­же­ний

Од­ним из при­мене­ний IP­FIX про­токо­ла яв­ля­ет­ся об­на­руже­ние на ос­но­ве его дан­ных се­тевых атак и втор­же­ний. Од­на­ко, это дос­та­точ­но слож­ный про­цесс, так как ха­керы быст­ро подс­тра­ивают­ся под су­щест­ву­ющие сис­те­мы об­на­руже­ния, пы­та­ясь сде­лать свои ата­ки не­замет­ны­ми и бо­лее изощ­ренны­ми. В то­же вре­мя не­обыч­ное из­ме­нение тра­фика не всег­да яв­ля­ет­ся ре­зуль­та­том зло­наме­рен­ных дей­ствий. Тра­фик мо­жет рез­ко из­ме­нить­ся и в ре­зуль­та­те дей­ствия ле­гитим­ных поль­зо­вате­лей или оши­бок в кон­фи­гура­ции се­тевых уст­рой­ств. Те­оре­тичес­ки вся ин­форма­ция о тра­фике на IP уров­не яв­ля­ет­ся дос­тупной. Эти дан­ные поз­во­ля­ют ли­бо нап­ря­мую об­на­ружи­вать ано­маль­ные яв­ле­ния в се­ти или мо­гут слу­жить ос­но­вой для соз­да­ния бо­лее комп­лек­сных па­рамет­ров, по ко­торым мож­но об­на­ружит се­тевые ата­ки.

В за­виси­мос­ти от ти­па ата­ки мо­гут ис­поль­зо­вать­ся раз­личный на­бор мет­рик. Вне­зап­ное рез­кое воз­раста­ние тра­фика мо­жет слу­жить од­ном из приз­на­ков на­чала ата­ки. Весь объем тра­фика мо­жет отс­ле­живать­ся с по­мощью ИЭ pac­ketTo­tal­Co­unt или oc­tetTo­tal­Co­unt. Чис­ло ак­тивных по­токов мож­но оп­ре­делить с по­мощью па­рамет­ра ob­servedF­low­To­tal­Co­unt.

Вне­зап­ное уве­личе­ние по­токов от раз­личных ис­точни­ков на один из при­ем­ни­ков па­кетов мо­жет быть выз­ва­но ата­кой на оп­ре­делен­ный хост или се­тевой узел пу­тем ис­поль­зо­вания фаль­ши­вых ад­ре­сов. Чис­ло по­токов от или на оп­ре­делен­ную сеть (хос­ты) мо­жет быть вы­яв­ле­но за счет ана­лиза ад­ре­сов ис­точни­ков и при­ем­ни­ков, при­нятых в ка­чест­ве по­токо­вых клю­чей, и чис­ла ак­тивных по­токов, как упо­мина­лось вы­ше. Мно­жест­во по­токов на один и тот же IP ад­рес, но раз­личные пор­ты, или мно­жест­во по­токов на один и тот же порт ря­да се­тевых уст­рой­ств мо­жет быть ин­ди­като­ром вер­ти­каль­но­го или го­ризон­таль­но­го ска­ниро­вания пор­тов. Чис­ло по­токов на раз­личные пор­ты мо­жет оп­ре­делять­ся с по­мощью сле­ду­ющих ИЭ: udp­So­ur­ce­Port, udp­Des­ti­nati­on­Port, tcpSo­ur­ce­Port, tcpDes­ti­nati­on­Port.

Не­обыч­ное со­от­но­шение TCP-SYN к TCP-FIN па­кетов мо­жет го­ворить о SYN флу­дин­ге (flo­oding). О чис­ле SYN и FIN па­кетов мож­но су­дить по ИЭ: tcpSyn­To­tal­Co­unt и tcpFin­To­tal­Co­unt.

Се­тевые "чер­ви" мо­гут быть об­на­руже­ны толь­ко пу­тем де­таль­но­го изу­чения со­дер­жи­мого па­кетов. И о них не­воз­можно су­дить по па­рамет­рам тра­фика, а мож­но оп­ре­делить с ис­поль­зо­вани­ем ИЭ ip­Pa­yload­Packet­Secti­on [5].

Сле­ду­ет учи­тывать, что ко­личест­во ре­сур­сов, не­об­хо­димых для из­ме­рения, уве­личи­ва­ет­ся с уров­нем, тре­бу­емым для об­на­руже­ния атак. В дан­ном слу­чае мо­гут быть по­лез­ны тех­но­логии мно­гос­ту­пен­ча­того ана­лиза, то есть при­мене­ние бо­лее глу­боко­го ана­лиза, ес­ли се­тевое по­веде­ние от­ли­ча­ет­ся от шаб­лонно­го. Для наб­лю­дения за тра­фиком с целью об­на­руже­ния се­тевых атак ре­комен­ду­ет­ся ис­поль­зо­вать ме­тоды филь­тра­ции, ко­торые опи­сыва­ют­ся в RFC 5475.

От­не­сение при­над­лежнос­ти IP ад­ре­сов, участ­ву­ющих в по­токах, мо­жет быть по­лез­ным для оп­ре­деле­ния кор­рект­нос­ти се­тево­го по­веде­ния. Кор­ре­ляция дан­ных из нес­коль­ких то­чек наб­лю­дения поз­во­ля­ет оце­нить расп­рос­тра­нение ата­ки и по­мочь в ло­кали­зации ее ис­точни­ка.

В то­же вре­мя сбор ин­форма­ции о по­токах со все­воз­можных то­чек наб­лю­дения час­то яв­ля­ет­ся не­ре­аль­ным из-за ог­ра­ниче­ний на ре­сур­сы. Сле­дова­тель­но, не­об­хо­димо вы­бирать мет­ри­ки, ко­торые бы поз­во­ляли точ­но оп­ре­делять тре­бу­емые се­тевые со­бытия при ис­поль­зо­вании ми­нималь­ных ре­сур­сов.

Во мно­гих слу­ча­ях ис­поль­зо­вание толь­ко не­об­ра­ботан­ных дан­ных из IP­FIX про­токо­ла не­дос­та­точ­но для вы­яв­ле­ния се­тевых со­бытий. Нап­ри­мер, срав­не­ние чис­ла SYN и FIN па­кетов за оп­ре­делен­ный ин­тервал вре­мени мож­но ин­терп­ре­тиро­вать как неп­ре­рыв­ную SYN ата­ку, но ко­торая не оче­вид­на из не­об­ра­ботан­ных па­кетов или по­токо­вых дан­ных. До­пол­ни­тель­ные мет­ри­ки, по­доб­ные ком­му­лятив­ным сум­мам раз­личных счет­чи­ков, расп­ре­деле­ния па­кет­ных ат­ри­бутов или спектр ко­эф­фи­ци­ен­тов, долж­ны ис­поль­зо­вать­ся для иден­ти­фика­ции раз­личных ти­пов атак.

Для то­го что­бы об­на­ружить ата­ку на эта­пе ее за­рож­де­ния по­лез­но об­ра­баты­вать дан­ные сра­зу же пос­ле их по­луче­ния для фор­ми­рова­ния важ­ных мет­рик, слу­жащих для об­на­руже­ния ата­ки. Пред­ва­ритель­ная об­ра­бот­ка "сы­рых" па­кетов и дан­ных по­тока уже в са­мом уст­рой­стве мо­жет ус­ко­рить про­цесс об­на­руже­ния и умень­шить ко­личест­во дан­ных для экс­пор­та. Кро­ме то­го, воз­можна не­пос­редс­твен­ная пе­реда­ча изв­ле­ка­емых мет­рик пу­тем оп­ре­деле­ния со­от­ветс­тву­ющих ИЭ. Же­лате­лен не­мед­ленный экс­порт дан­ных в слу­чае по­тен­ци­аль­ной уг­ро­зы.

Эф­фектив­ное об­на­руже­ние втор­же­ний воз­можно при од­новре­мен­ном ис­поль­зо­вании функ­ци­ональ­нос­тей IP­FIX и ААА (Авто­риза­ция,Аутен­ти­фика­ция, Acco­un­ting – учет ис­поль­зу­емых ре­сур­сов). Обыч­но функ­ции ААА вы­пол­ня­ют RA­DI­US сер­ве­ра. Ин­форма­цию по про­токо­лу RA­DI­US мож­но пос­мотреть, нап­ри­мер, в [6].

 Мо­нито­ринг ка­чест­ва сер­ви­са (QoS)

Мо­нито­ринг ка­чест­ва сер­ви­са (qua­lity of ser­vi­ce) яв­ля­ет­ся од­ним из при­ложе­ний IP­FIX про­токо­ла. Ти­повы­ми па­рамет­ра­ми ка­чест­ва сер­ви­са яв­ля­ют­ся по­тери, од­носто­рон­няя и двус­то­рон­няя за­держ­ки (one-way и ro­und-trip de­lay), ва­ри­ация за­держ­ки (de­lay va­ri­ation). Оп­ре­деле­ние этих па­рамет­ров тре­бу­ет об­ра­бот­ки на уров­не па­кетов. Не­кото­рые па­рамет­ры ка­чест­ва сер­ви­са тре­бу­ют кор­ре­ляции дан­ных от нес­коль­ких то­чек наб­лю­дения. Для это­го не­об­хо­дима синх­ро­низа­ция по вре­мени из­ме­ритель­ных про­цес­сов в этих точ­ках. Кро­ме это­го не­об­хо­димо рас­позна­вать, что один и тот же па­кет наб­лю­дал­ся в раз­личных точ­ках наб­лю­дения. Это мо­жет быть сде­лано пу­тем сбо­ра час­тей со­дер­жи­мого па­кета (за­голо­вок па­кета или час­ти те­ла па­кета), ко­торые не из­ме­нялись на пу­ти к при­ем­ни­ку. Ос­но­выва­ясь на со­дер­жи­мом па­кета, воз­можно оп­ре­делить, ког­да один и тот же па­кет пос­ту­пил в дру­гую точ­ку наб­лю­дения. Для умень­ше­ния ко­личест­ва из­ме­ря­емых дан­ных воз­можно вы­чис­ле­ние уни­каль­но­го па­кет­но­го иден­ти­фика­тора на ос­но­ве со­дер­жи­мого па­кета.

 Ин­форма­ци­он­ные эле­мен­ты IP­FIX

Для IP­FIX про­токо­ла ин­форма­ци­он­ные эле­мен­ты с 1 по 127 в боль­шинс­тве иден­тичны тем, ко­торые ис­поль­зу­ют­ся в про­токо­ле NetF­low вер­сии 9 [7].

До­пол­ни­тель­ный объем ин­форма­ци­он­ных эле­мен­тов за­резер­ви­рован с 128 до 32767. Часть из них за­дей­ство­ваны.

Пе­речень ин­форма­ци­он­ных эле­мен­тов IP­FIX про­токо­ла с 1 по 127 в со­от­ветс­твии RFC 5102 и со­от­ветс­тву­ющих по­лей про­токо­ла NetF­low вер­сии 9 при­веде­ны в таб­ли­це 2.

Таб­ли­ца 2

ID

Ин­форма­ци­он­ный эле­мент в NetF­lowv.9

Ин­форма­ци­он­ный эле­мент в IP­FIX

Опи­сание

1

IN_BY­TES

oc­tetDel­ta­Co­unt

Вхо­дящий счет­чик с дли­ной N х 8 бит для ко­личест­ва байт, свя­зан­ных с IP по­током.

2

IN_PKTS

pac­ketDel­ta­Co­unt

Вхо­дящий счет­чик с дли­ной N х 8 бит для ко­личест­ва па­кетов, свя­зан­ных с IP по­током.

3

FLOWS

RE­SER­VED

Ко­личест­во по­токов, ко­торое аг­ре­гиру­ет­ся. По умол­ча­нию 4.

4

PRO­TOCOL

pro­toco­lIden­ti­fi­er

IP про­токол

5

TOS

ipC­las­sOfSer­vi­ce

Тип Сер­ви­са для вхо­дяще­го ин­терфей­са

6

TCP_FLAGS

tcpCont­rol­Bits

Со­вокуп­ность всех TCP фла­гов для это­го по­тока

7

L4_SRC_PORT

so­ur­ceTrans­por­tPort

Но­мер пор­та TCP/UDP ис­точни­ка: FTP, Tel­net и т.п.

8

IPV4_SRC_ADDR

so­ur­ce­IPv4Add­ress

Ад­рес ис­точни­ка дан­ных IP про­токо­ла вер­сии 4

9

SRC_MASK

so­ur­ce­IPv4Pre­fix­Length

Мас­ка ис­точни­ка дан­ных

10

IN­PUT_SNMP

ing­res­sInter­fa­ce

Ин­декс вхо­дяще­го ин­терфей­са; по умол­ча­нию 2, но мо­гут ис­поль­зо­вать­ся       и бо­лее вы­сокие зна­чения.

11

L4_DST_PORT

des­ti­nati­onT­ran­sport­Port

Но­мер пор­та TCP/UDP при­ем­ни­ка: FTP, Tel­net и т.п.

12

IPV4_DST_ADDR

des­ti­nati­onIPv4Add­ress

Ад­рес при­ем­ни­ка дан­ных про­токо­ла IP вер­сии 4

13

DST_MASK

des­ti­nati­onIPv4Pre­fix­Length

Мас­ка при­ем­ни­ка дан­ных

14

OUT­PUT_SNMP

eg­ressIn­terfa­ce

Ин­декс ис­хо­дяще­го ин­терфей­са; по умол­ча­нию 2, но мо­гут ис­поль­зо­вать­ся бо­лее вы­сокие зна­чения.

15

IPV4_NEXT_HOP

ip­Next­Ho­pIPv4Add­ress

IPv4 ад­рес сле­ду­юще­го марш­ру­тиза­тора (next-hop ro­uter)

16

SRC_AS

bgpSo­ur­ce­As­Number

Но­мер ав­то­ном­ной сис­те­мы BGP ис­точни­ка. Зна­чение по умол­ча­нию: 2. Так­же мо­жет быть и 4

17

DST_AS

bgpDes­ti­nati­onAs­Number

Но­мер ав­то­ном­ной сис­те­мы BGP при­ем­ни­ка. Зна­чение по умол­ча­нию: 2. Так­же мо­жет быть и 4

18

BGP_IPV4_NEXT_HOP

bgpNext­ho­pIPv4Add­ress

IP ад­рес сле­ду­юще­го марш­ру­тиза­тора в BGP до­мене

19

MUL_DST_PKTS

post­MCast­Pac­ketDel­ta­Co­unt

Счет­чик груп­по­вых ис­хо­дящих IP па­кетов с дли­ной N x 8 бит для па­кетов, свя­зан­ных с IP по­током

20

MUL_DST_BY­TES

post­MCas­tOctet­Delta­Co­unt

Счет­чик груп­по­вых ис­хо­дящих IP байт с дли­ной N x 8 бит для бай­тов, свя­зан­ных с IP по­током

21

LAST_SWITC­HED

flo­wEnd­Sy­sUp­Ti­me

Сис­темное вре­мя ра­боты, при ко­тором пос­ледний па­кет в этом по­токе был ском­му­тиро­ван.

22

FIRST_SWITC­HED

flowS­tar­tSy­sUp­Ti­me

Сис­темное вре­мя ра­боты, при ко­тором пер­вый па­кет в этом по­токе был ском­му­тиро­ван.

23

OUT_BY­TES

pos­tOctet­Delta­Co­unt

Ис­хо­дящий счет­чик с дли­ной N x 8 бит для ко­личест­ва байт, свя­зан­ных с IP по­током

24

OUT_PKTS

post­Pac­ketDel­ta­Co­unt

Ис­хо­дящий счет­чик с дли­ной N x 8 бит для чис­ла па­кетов, свя­зан­ных с IP по­током.

25

MIN_PKT_LNGTH

mi­nimu­mIp­To­tal­Length

Ми­нималь­ная дли­на IP па­кета для вхо­дящих па­кетов по­тока

26

MAX_PKT_LNGTH

ma­ximu­mIp­To­tal­Length

Мак­си­маль­ная дли­на IP па­кета для вхо­дящих па­кетов по­тока

27

IPV6_SRC_ADDR

so­ur­ce­IPv6Add­ress

IPv6 ад­рес ис­точни­ка дан­ных

28

IPV6_DST_ADDR

des­ti­nati­onIPv6Add­ress

IPv6 ад­рес при­ем­ни­ка дан­ных

29

IPV6_SRC_MASK

so­ur­ce­IPv6Pre­fix­Length

Дли­на мас­ки IPv6 ис­точни­ка дан­ных

30

IPV6_DST_MASK

des­ti­nati­onIPv6Pre­fix­Length

Дли­на мас­ки IPv6 при­ем­ни­ка дан­ных

31

IPV6_FLOW_LA­BEL

flow­La­belIPv6

Яр­лык по­тока IPv6, как оп­ре­деле­но в RFC 2460

32

ICMP_TY­PE

icm­pTy­peCo­de­IPv4

Тип па­кета меж­се­тево­го про­токо­ла уп­равля­ющих со­об­ще­ний (In­ternet Cont­rol Mes­sa­ge Pro­tocol - ICMP); вы­водят­ся как: ((ICMP Ty­pe*256) + ICMP co­de)

33

MUL_IGMP_TY­PE

igm­pTy­pe

Тип па­кета про­токо­ла уп­равле­ния груп­па­ми Ин­тернет (In­ternet Gro­up Ma­nage­ment Pro­tocol - IGMP)

34

SAMP­LING_IN­TERVAL

RE­SER­VED

Ис­поль­зу­ет­ся для вы­бороч­но­го по­тока NetF­low. Час­то­та, с ко­торой вы­бира­ют­ся па­кеты. Т.е. 100 бу­дет оз­на­чать, что вы­бира­ет­ся каж­дый 100-й па­кет.

35

SAMP­LING_AL­GO­RITHM

RE­SER­VED

Тип ал­го­рит­ма, ис­поль­зу­емо­го для вы­бор­ки NetF­low: 0х01 — де­тер­ми­ниро­ван­ная вы­бор­ка; 0х02 — слу­чай­ная вы­бор­ка.

36

FLOW_AC­TI­VE_TI­ME­OUT

flo­wAc­ti­veTi­me­out

Ве­личи­на тай­ма­ута (в се­кун­дах) для за­писей не­ак­тивно­го по­тока в кэш NetF­low.

37

FLOW_INAC­TI­VE_TI­ME­OUT

flo­wId­le­Time­out

Ве­личи­на тай­ма­ута (в се­кун­дах) для за­писей не­ак­тивно­го по­тока в NetF­low кэ­ше.

38

EN­GI­NE_TY­PE

RE­SER­VED

Тип по­тока ком­му­таци­он­ной ма­шины: RP=0, VIP/Li­necard=1

39

EN­GI­NE_ID

RE­SER­VED

Иден­ти­фика­тор ком­му­таци­он­ной ма­шины

40

TO­TAL_BY­TES_EXP

ex­porte­dOc­tetTo­tal­Co­unt

Счет­чик с дли­ной N x 8 бит для байт для ко­личест­ва байт экс­пор­ти­ру­емых До­меном Наб­лю­дения

41

TO­TAL_PKTS_EXP

ex­ported­Messa­geTo­tal­Co­unt

Счет­чик с дли­ной N x 8 бит для байт для ко­личест­ва па­кетов экс­пор­ти­ру­емых До­меном Наб­лю­дения

42

TO­TAL_FLOWS_EXP

ex­portedF­low­Re­cord­To­tal­Co­unt

Счет­чик с дли­ной N x 8 бит для байт для ко­личест­ва по­токов экс­пор­ти­ру­емых До­меном Наб­лю­дения

43

RE­SER­VED

 

 

44

IPV4_SRC_PRE­FIX

so­ur­ce­IPv4Pre­fix

Пре­фикс ад­ре­са IPv4 ис­точни­ка (спе­ци­аль­но для ар­хи­тек­ту­ры Ca­talyst)

45

IPV4_DST_PRE­FIX

RE­SER­VED

Пре­фикс ад­ре­са IPv4 при­ем­ни­ка (спе­ци­аль­но для ар­хи­тек­ту­ры Ca­talyst)

46

MPLS_TOP_LA­BEL_TY­PE

mplsTop­La­bel­Ty­pe

MPLS Top La­bel Ty­pe: 0x00 UNK­NOWN; 0x01 TE-MIDPT; 0x02 ATOM; 0x03 VPN; 0x04 BGP; 0x05 LDP

47

MPLS_TOP_LA­BEL_IP_ADDR

mplsTop­La­belIPv4Add­ress

Пе­ре­ад­ре­су­емый Эк­ви­валент­ный Класс (For­warding Equi­valent Class) со­от­ветс­тву­ющий верх­ней мет­ки MPLS

48

FLOW_SAMP­LER_ID

RE­SER­VED

Иден­ти­фика­тор, по­казан­ный в “show flow-samp­ler”

49

FLOW_SAMP­LER_MO­DE

RE­SER­VED

Тип ал­го­рит­ма, ис­поль­зу­емо­го для вы­бороч­ных дан­ных: 0х02 слу­чай­ный вы­бор. Ис­поль­зу­ет­ся     сов­мест­но с FLOW_SAMP­LER_MO­DE

50

FLOW_SAMP­LER_RAN­DOM_IN­TERVAL

RE­SER­VED

Па­кет­ный ин­тервал, с ко­торым осу­щест­вля­ет­ся вы­бор­ка. Ис­поль­зу­ет­ся сов­мест­но с FLOW_SAMP­LER_MO­DE

51

RE­SER­VED

RE­SER­VED

 

52

MIN_TTL

mi­nimumTTL

Ми­нималь­ное вре­мя жиз­ни па­кетов (TTL) для вхо­дяще­го по­тока.

53

MAX_TTL

ma­ximumTTL

Мак­си­маль­ное вре­мя жиз­ни па­кетов (TTL) для ис­хо­дяще­го по­тока.

54

IPV4_IDENT

frag­mentI­den­ti­fica­ti­on

Иден­ти­фика­ци­он­ное по­ле IPv4.

55

DST_TOS

pos­tIpC­las­sOfSer­vi­ce

Байт ти­па сер­ви­са, ус­та­нав­ли­ва­емый для ис­хо­дяще­го ин­терфей­са.

56

SRC_MAC

so­ur­ce­MacAdd­ress

МАС ад­рес ис­хо­дяще­го ис­точни­ка

57

DST_MAC

post­Des­ti­nati­on­Ma­cAdd­ress

МАС ад­рес вхо­дяще­го при­ем­ни­ка

58

SRC_VLAN

vla­nId

Иден­ти­фика­тор вир­ту­аль­ной ЛВС, свя­зан­ный с вхо­дящим ин­терфей­сом

59

DST_VLAN

post­Vla­nId

Иден­ти­фика­тор вир­ту­аль­ной ЛВС, свя­зан­ный с ис­хо­дящим ин­терфей­сом

60

IP_PRO­TOCOL_VER­SI­ON

ip­Versi­on

Вер­сия Ин­тернет Про­токо­ла. Зна­чение 4 — для IPv4, и 6 — для IPv6. Ес­ли от­сутс­тву­ет в шаб­ло­не, зна­чит, ис­поль­зу­ет­ся вер­сия 4.

61

DI­REC­TI­ON

flow­Di­rec­ti­on

Нап­равле­ние по­тока: 0 — вхо­дящий по­ток, 1 — ис­хо­дящий по­ток.

62

IPV6_NEXT_HOP

ip­Next­Ho­pIPv6Add­ress

IPv6 ад­рес для марш­ру­тиза­тора сле­ду­юще­го пе­рехо­да (скач­ка).

63

BPG_IPV6_NEXT_HOP

bgpNext­ho­pIPv6Add­ress

Ipv6 ад­рес марш­ру­тиза­тора сле­ду­юще­го пе­рехо­да в BGP до­мене.

64

IPV6_OP­TI­ON_HE­ADERS

ipv6Ex­tensi­on­He­aders

Би­тово-ко­диру­емое по­ле, иден­ти­фици­ру­ющее до­пол­ни­тель­ные за­голов­ки IPv6, об­на­ружен­ные в по­токе.

65

RE­SER­VED

RE­SER­VED

 

66

RE­SER­VED

RE­SER­VED

 

67

RE­SER­VED

RE­SER­VED

 

68

RE­SER­VED

RE­SER­VED

 

69

RE­SER­VED

RE­SER­VED

 

70

MPLS_LA­BEL_1

mplsTop­La­belS­tac­kSec­ti­on

MPLS мет­ка (яр­лык) на 1-й по­зиции в сте­ке. По­ле со­дер­жит в се­бе: 20 бит - MPLS мет­ки, 3 EXP (экс­пе­римен­таль­ных) би­та и 1 S бит (ко­нец сте­ка).

71

MPLS_LA­BEL_2

mplsLa­belS­tac­kSec­ti­on2

MPLS мет­ка (яр­лык) на 2-й по­зиции в сте­ке. По­ле со­дер­жит в се­бе: 20 бит - MPLS мет­ки, 3 EXP (экс­пе­римен­таль­ных) би­та и 1 S бит (ко­нец сте­ка).

72

MPLS_LA­BEL_3

mplsLa­belS­tac­kSec­ti­on3

MPLS мет­ка (яр­лык) на 3-й по­зиции в сте­ке. По­ле со­дер­жит в се­бе: 20 бит - MPLS мет­ки, 3 EXP (экс­пе­римен­таль­ных) би­та и 1 S бит (ко­нец сте­ка).

73

MPLS_LA­BEL_4

mplsLa­belS­tac­kSec­ti­on4

MPLS мет­ка (яр­лык) на 4-й по­зиции в сте­ке. По­ле со­дер­жит в се­бе: 20 бит - MPLS мет­ки, 3 EXP (экс­пе­римен­таль­ных) би­та и 1 S бит (ко­нец сте­ка).

74

MPLS_LA­BEL_5

mplsLa­belS­tac­kSec­ti­on5

MPLS мет­ка (яр­лык) на 5-й по­зиции в сте­ке. По­ле со­дер­жит в се­бе: 20 бит - MPLS мет­ки, 3 EXP (экс­пе­римен­таль­ных) би­та и 1 S бит (ко­нец сте­ка).

75

MPLS_LA­BEL_6

mplsLa­belS­tac­kSec­ti­on6

MPLS мет­ка (яр­лык) на 6-й по­зиции в сте­ке. По­ле со­дер­жит в се­бе: 20 бит - MPLS мет­ки, 3 EXP (экс­пе­римен­таль­ных) би­та и 1 S бит (ко­нец сте­ка).

76

MPLS_LA­BEL_7

mplsLa­belS­tac­kSec­ti­on7

MPLS мет­ка (яр­лык) на 7-й по­зиции в сте­ке. По­ле со­дер­жит в се­бе: 20 бит - MPLS мет­ки, 3 EXP (экс­пе­римен­таль­ных) би­та и 1 S бит (ко­нец сте­ка).

77

MPLS_LA­BEL_8

mplsLa­belS­tac­kSec­ti­on8

MPLS мет­ка (яр­лык) на 8-й по­зиции в сте­ке. По­ле со­дер­жит в се­бе: 20 бит - MPLS мет­ки, 3 EXP (экс­пе­римен­таль­ных) би­та и 1 S бит (ко­нец сте­ка).

78

MPLS_LA­BEL_9

mplsLa­belS­tac­kSec­ti­on9

MPLS мет­ка (яр­лык) на 9-й по­зиции в сте­ке. По­ле со­дер­жит в се­бе: 20 бит - MPLS мет­ки, 3 EXP (экс­пе­римен­таль­ных) би­та и 1 S бит (ко­нец сте­ка).

79

MPLS_LA­BEL_10

mplsLa­belS­tac­kSec­ti­on10

MPLS мет­ка (яр­лык) на 10-й по­зиции в сте­ке. По­ле со­дер­жит в се­бе: 20 бит - MPLS мет­ки, 3 EXP (экс­пе­римен­таль­ных) би­та и 1 S бит (ко­нец сте­ка).

80

OUT_DST_MAC

des­ti­nati­on­Ma­cAdd­ress

МАС ад­рес ис­хо­дяще­го при­ем­ни­ка

81

IN_SRC_MAC

post­So­ur­ce­MacAdd­ress

МАС ад­рес вхо­дяще­го ис­точни­ка

82

IF_NA­ME

RE­SER­VED

Сок­ра­щен­ное имя ин­терфей­са, нап­ри­мер: “FE1/0”

83

IF_DESC

RE­SER­VED

Пол­ное имя ин­терфей­са, нап­ри­мер: “'Fas­tEther­net 1/0”

84

SAMP­LER_NA­ME

RE­SER­VED

Имя вы­бор­ки по­тока

85

IN_PER­MA­NENT _BY­TES

oc­tetTo­tal­Co­unt

Счет­чик те­куще­го бай­та для пос­то­ян­но­го по­тока

86

IN_ PER­MA­NENT _PKTS

pac­ketTo­tal­Co­unt

Счет­чик те­куще­го па­кета для пос­то­ян­но­го по­тока

87

RE­SER­VED

RE­SER­VED

 

88

FRAG­MENT_OFF­SET

frag­mentOff­set

Ве­личи­на фраг­мент­но­го сме­щения для фраг­менти­ру­емых IP па­кетов

89

FOR­WARDING STA­TUS

RE­SER­VED

Сос­то­яние пе­ре­ад­ре­сации, ко­торое ко­диру­ет­ся 2-я ле­выми би­тами в бай­те, а ос­таль­ные 6 бит — ука­зыва­ют код при­чины пе­ре­ад­ре­сации.

90

RE­SER­VED

mplsVpnRo­ute­Dis­tingu­is­her

Ве­личи­на от­ли­читель­но­го приз­на­ка VPN марш­ру­та со­от­ветс­тву­ющей за­писи в таб­ли­це марш­ру­тиза­ции и пе­ре­ад­ре­сации VPN. От­ли­читель­ный приз­нак марш­ру­та га­ран­ти­ру­ет, что по­доб­ный ад­рес мо­жет ис­поль­зо­вать­ся в нес­коль­ких раз­личных MPLS VPN и что он мо­жет ис­поль­зо­вать­ся в BGP для пе­реда­чи нес­коль­ких со­вер­шенно от­личных марш­ру­тов для это­го ад­ре­са.

91-127

 

RE­SER­VED

 

Прак­ти­чес­ки пол­ное сов­па­дение зна­чений ин­форма­ци­он­ных эле­мен­тов про­токо­ла IP­FIX со зна­чени­ями ИЭ про­токо­ла NetF­low вер­сии 9 поз­во­ля­ет поль­зо­вате­лям обо­рудо­вания IP­FIX ис­поль­зо­вать NetF­low кол­лекто­ры, ко­торые под­держи­ва­ют вер­сию 9.

Пе­речень ин­форма­ци­он­ных эле­мен­тов IP­FIX про­токо­ла, на­чиная со 128 по 238 при­веде­ны в таб­ли­це 3.

Таб­ли­ца 3

ID

Ин­форма­ци­он­ный эле­мент

Опи­сание

128

BgpNex­tAdja­cen­tAsNum­ber

Но­мер пер­вой ав­то­ном­ной сис­те­мы (АС) на пу­ти к IP ад­ре­су наз­на­чения. Путь оп­ре­деля­ет­ся пу­тем по­ис­ка IP ад­ре­са наз­на­чения по­тока в ин­форма­ци­он­ной ба­зе марш­ру­тиза­ции BGP. Ес­ли ин­форма­ция о пу­ти к ав­то­ном­ной сис­те­ме яв­ля­ет­ся дос­тупной толь­ко для не­упо­рядо­чен­но­го на­бора АС, то ве­личи­на дан­но­го ин­форма­ци­он­но­го эле­мен­та рав­на 0.

229

BgpPre­vAd­ja­cen­tAsNum­ber

 

Но­мер пос­ледней ав­то­ном­ной сис­те­мы (АС) на пу­ти от IP ад­ре­са ис­точни­ка. Путь оп­ре­деля­ет­ся пу­тем по­ис­ка IP ад­ре­са по­тока в ин­форма­ци­он­ной ба­зе марш­ру­тиза­ции BGP. Ес­ли ин­форма­ция о пу­ти для это­го по­тока яв­ля­ет­ся дос­тупной толь­ко для не­упо­рядо­чен­но­го на­бора АС (и не как упо­рядо­чен­ная пос­ле­дова­тель­ность АС), то ве­личи­на ин­форма­ци­он­но­го эле­мен­та бу­дет 0. В слу­чае асим­метрии BGP, bgpPre­vAd­ja­cen­tAsNum­ber не мо­жет со­об­щать пра­виль­ную ве­личи­ну.

130

Ex­porte­rIPv4Add­ress

IP ад­рес v4, ис­поль­зу­емый про­цес­сом экс­пор­та. Он ис­поль­зу­ет­ся кол­лекто­ром для иден­ти­фика­ции Экс­пор­те­ра в слу­ча­ях, где иден­ти­фика­ция Экс­пор­те­ра мо­жет быть скры­та за счет ис­поль­зо­вания Прок­си сер­ве­ра.

131

Ex­porte­rIPv6Add­ress

IP ад­рес v6, ис­поль­зу­емый про­цес­сом экс­пор­та. Он ис­поль­зу­ет­ся кол­лекто­ром для иден­ти­фика­ции Экс­пор­те­ра в слу­ча­ях, где иден­ти­фика­ция Экс­пор­те­ра мо­жет быть скры­та за счет ис­поль­зо­вания Прок­си сер­ве­ра.

132

Drop­pe­dOc­tetDel­ta­Co­unt

Чис­ло байт (ок­те­тов) со вре­мени пре­дыду­щего от­че­та в па­кетах это­го По­тока, прос­мотрен­ных об­ра­бот­чи­ком па­кетов. Чис­ло байт вклю­ча­ет IP за­голов­ки и по­лез­ную ин­форма­цию.

133

Drop­pedPac­ketDel­ta­Co­unt

Чис­ло па­кетов со вре­мени пре­дыду­щего от­че­та в па­кетах это­го По­тока, прос­мотрен­ных об­ра­бот­чи­ком па­кетов.

134

Drop­pe­dOc­tetTo­tal­Co­unt

Об­щее чис­ло байт в па­кетах это­го По­тока, прос­мотрен­ных об­ра­бот­чи­ком па­кетов с мо­мен­та ини­ци­али­зации про­цес­са наб­лю­дения до те­куще­го мо­мен­та. Чис­ло байт вклю­ча­ет IP за­голов­ки и по­лез­ную ин­форма­цию.

135

Drop­pedPac­ketTo­tal­Co­unt

Об­щее чис­ло па­кетов это­го По­тока, прос­мотрен­ных об­ра­бот­чи­ком па­кетов с мо­мен­та ини­ци­али­зации про­цес­са наб­лю­дения до те­куще­го мо­мен­та.

136

Flo­wEnd­Re­ason

При­чина пре­рыва­ния По­тока.

137

Com­monP­ro­per­ti­esId

Иден­ти­фика­тор на­бора об­щих свой­ств, ко­торый яв­ля­ет­ся уни­каль­ным для Наб­лю­да­емо­го до­мена и транс­пор­тной сес­сии. Обыч­но этот ин­форма­ци­он­ный эле­мент ис­поль­зу­ет­ся для свя­зи с ин­форма­ци­ей, по­луча­емой в раз­личных за­писях.

138

Ob­serva­ti­on­Po­in­tId

Иден­ти­фика­тор Точ­ки наб­лю­дения, ко­торый яв­ля­ет­ся уни­каль­ным для Наб­лю­да­емо­го до­мена. Ре­комен­ду­ет­ся, что­бы этот иден­ти­фика­тор был так­же уни­каль­ным для IP­FIX уст­рой­ства. Обыч­но это ин­форма­ци­он­ный эле­мент ис­поль­зу­ет­ся для ог­ра­ниче­ния объема дру­гих ин­форма­ци­он­ных эле­мен­тов.

139

Icm­pTy­peCo­de­IPv6

Тип и код со­об­ще­ния IPv6 ICMP. Ин­форма­ция со­об­ща­ет­ся как: (ICMP*256)+ICMP код.

140

MplsTop­La­belIPv6Add­ress

IPv6 ад­рес сис­те­мы, MPLS мет­ка ко­торой выз­ва­ла пе­ренап­равле­ние По­тока.

141

Li­neCar­dId

Иден­ти­фика­тор ли­ней­ной пла­ты, ко­торый яв­ля­ет­ся уни­каль­ным для IP­FIX уст­рой­ства в наб­лю­да­емой точ­ке. Обыч­но этот ин­форма­ци­он­ный эле­мент ис­поль­зу­ет­ся для ог­ра­ниче­ния объема ин­форма­ци­он­ных эле­мен­тов.

142

Por­tId

Иден­ти­фика­тор ли­ней­но­го пор­та, ко­торый яв­ля­ет­ся уни­каль­ным для IP­FIX уст­рой­ства в точ­ке наб­лю­дения. Обыч­но этот ин­форма­ци­он­ный эле­мент ис­поль­зу­ет­ся для ог­ра­ниче­ния объема ин­форма­ци­он­ных эле­мен­тов.

143

Me­tering­Pro­ces­sId

Иден­ти­фика­тор про­цес­са отс­ле­жива­ния по­тока, ко­торый яв­ля­ет­ся уни­каль­ным для IP­FIX уст­рой­ства. Обыч­но этот ин­форма­ци­он­ный эле­мент ис­поль­зу­ет­ся для ог­ра­ниче­ния дру­гих ин­форма­ци­он­ных эле­мен­тов. Иден­ти­фика­торы про­цес­са обыч­но наз­на­ча­ют­ся ди­нами­чес­ки. Отс­ле­жива­емый про­цесс мо­жет быть пе­резаг­ру­жен с дру­гим иден­ти­фика­тором.

144

Ex­porting­Pro­ces­sId

Иден­ти­фика­тор Экс­пор­тно­го про­цес­са, ко­торый яв­ля­ет­ся уни­каль­ным для IP­FIX уст­рой­ства. Обыч­но этот ин­форма­ци­он­ный эле­мент ис­поль­зу­ет­ся для ог­ра­ниче­ния дру­гих ин­форма­ци­он­ных эле­мен­тов. Иден­ти­фика­торы про­цес­са обыч­но наз­на­ча­ют­ся ди­нами­чес­ки. Отс­ле­жива­емый про­цесс мо­жет быть пе­резаг­ру­жен с дру­гим иден­ти­фика­тором.

145

Temp­la­te­Id

Иден­ти­фика­тор шаб­ло­на, ко­торый яв­ля­ет­ся ло­каль­но уни­каль­ным внут­ри транс­пор­тной сес­сии и отс­ле­жива­емо­го до­мена. Иден­ти­фика­торы шаб­ло­нов с 0 до 255 за­резер­ви­рова­ны для на­бора Шаб­ло­нов, на­бора рас­ши­рений шаб­ло­нов и дру­гих за­резер­ви­рован­ных на­боров еще до их соз­да­ния. Иден­ти­фика­торы шаб­ло­нов для на­боров дан­ных име­ют но­мера с 256 до 65535.

146

WlanC­han­ne­lId

Иден­ти­фика­тор ка­нала про­токо­ла 802.11 (Wi-Fi).

147

WlanS­SID

Се­тевой иден­ти­фика­тор (SSID), ис­поль­зу­емый в се­ти 802.11 (Wi-Fi).

148

Flo­wId

Иден­ти­фика­тор по­тока, ко­торый яв­ля­ет­ся уни­каль­ным внут­ри отс­ле­жива­емо­го до­мена. Этот ин­форма­ци­он­ный эле­мент мо­жет ис­поль­зо­вать­ся для раз­ли­чия меж­ду По­тока­ми, ес­ли клю­чи По­токов, та­кие как IP ад­ре­са и но­мера пор­тов со­об­ща­ют­ся в раз­личных за­писях.

149

Ob­serva­ti­on­Do­ma­inId

Иден­ти­фика­тор отс­ле­жива­емо­го до­мена, ко­торый яв­ля­ет­ся ло­каль­но уни­каль­ным в Экс­пор­ти­ру­емом про­цес­се. Экс­пор­ти­ру­емый про­цесс ис­поль­зу­ет иден­ти­фика­тор отс­ле­жива­емо­го до­мена для уни­каль­ной иден­ти­фика­ции для про­цес­са сбо­ра отс­ле­жива­емо­го до­мена, где отс­ле­жива­ют­ся по­токи. Ре­комен­ду­ет­ся, что­бы этот иден­ти­фика­тор был уни­каль­ным для IP­FIX уст­рой­ства. Ве­личи­на 0 иден­ти­фици­ру­ет, что не­оп­ре­делен­ный отс­ле­жива­емый до­мен иден­ти­фици­ру­ет­ся этим ин­форма­ци­он­ным эле­мен­том.

150

FlowS­tar­tSe­conds

Аб­со­лют­ная мет­ка вре­мени пер­во­го па­кета в по­токе, из­ме­ря­емая в се­кун­дах.

151

Flo­wEnd­Se­conds

Аб­со­лют­ная мет­ка вре­мени пос­ледне­го па­кета в по­токе, из­ме­ря­емая в се­кун­дах.

152

FlowS­tar­tMil­li­seconds

Аб­со­лют­ная мет­ка вре­мени пер­во­го па­кета в по­токе, из­ме­ря­емая в мил­ли­секун­дах.

153

Flo­wEnd­Mil­li­seconds

Аб­со­лют­ная мет­ка вре­мени пос­ледне­го па­кета в по­токе, из­ме­ря­емая в мил­ли­секун­дах.

154

FlowS­tar­tMic­ro­seconds

Аб­со­лют­ная мет­ка вре­мени пер­во­го па­кета в по­токе, из­ме­ря­емая в мик­ро­секун­дах.

155

Flo­wEnd­Mic­ro­seconds

Аб­со­лют­ная мет­ка вре­мени пос­ледне­го па­кета в по­токе, из­ме­ря­емая в мик­ро­секун­дах.

156

FlowS­tar­tNa­nose­conds

 

Аб­со­лют­ная мет­ка вре­мени пер­во­го па­кета в по­токе, из­ме­ря­емая в на­носе­кун­дах.

157

Flo­wEnd­Na­nose­conds

 

Аб­со­лют­ная мет­ка вре­мени пос­ледне­го па­кета в по­токе, из­ме­ря­емая в на­носе­кун­дах.

158

FlowS­tar­tDel­ta­Mic­ro­seconds

 

Это от­но­ситель­ная мет­ка вре­мени дей­стви­тель­ная толь­ко внут­ри од­но­го IP­FIX со­об­ще­ния. Она со­дер­жит от­ри­цатель­ный вре­мен­ной сдвиг от­но­ситель­но пер­во­го отс­ле­жива­емо­го па­кета в этом По­токе от­но­ситель­но вре­мени экс­пор­та, оп­ре­делен­но­го в за­голов­ке IP­FIX со­об­ще­ния.

159

Flo­wEnd­Del­ta­Mic­ro­seconds

 

Это от­но­ситель­ная мет­ка вре­мени, дей­стви­тель­ная внут­ри од­но­го IP­FIX со­об­ще­ния. Она со­дер­жит от­ри­цатель­ный вре­мен­ной сдвиг пос­ледне­го отс­ле­жива­емо­го па­кета для это­го По­тока от­но­ситель­но к вре­мени экс­пор­та, оп­ре­делен­но­го в за­голов­ке IP­FIX со­об­ще­ния.

160

Sys­te­mInit­Ti­meMil­li­seconds

Аб­со­лют­ная мет­ка вре­мени в мил­ли­секун­дах пос­ледней ини­ци­али­зации IP­FIX уст­рой­ства.

161

flow­Du­rati­on­Milli­seconds

Оп­ре­деля­ет раз­ни­цу во вре­мени в мил­ли­секун­дах меж­ду пер­вым наб­лю­да­емым па­кетом в дан­ном По­токе и пос­ледним наб­лю­да­емым па­кетом.

162

flow­Du­rati­on­Micro­seconds

Оп­ре­деля­ет раз­ни­цу во вре­мени в мик­ро­секун­дах меж­ду пер­вым наб­лю­да­емым па­кетом в дан­ном По­токе и пос­ледним наб­лю­да­емым па­кетом.

163

ob­servedF­low­To­tal­Co­unt

Об­щее чис­ло по­токов наб­лю­да­емых в Наб­лю­да­емом До­мене с мо­мен­та ини­ци­али­зации (ре­инин­ци­али­зации) из­ме­ритель­но­го про­цес­са для этой точ­ки наб­лю­дения.

164

ig­no­red­Packet­To­tal­Co­unt

Об­щее чис­ло наб­лю­да­емых IP па­кетов, ко­торое про­цесс из­ме­нения не об­ра­ботал с мо­мен­та ини­ци­али­зации (ре­ини­ци­али­зации) это­го про­цес­са.

165

ig­no­redOc­tetTo­tal­Co­unt

Об­щее чис­ло байт в наб­лю­да­емых IP па­кетах (вклю­чая и за­голо­вок па­кетов), ко­торое про­цесс из­ме­рения не об­ра­ботал с мо­мен­та ини­ци­али­зации это­го про­цес­са.

166

not­Sent­Flow­To­tal­Co­unt

Об­щее чис­ло по­токо­вых за­писей, ко­торое бы­ло сге­нери­рова­но про­цес­сом из­ме­рения и уда­лено про­цес­сом из­ме­рения или про­цес­сом экс­пор­та вмес­то по­сыл­ки их кол­лекто­ру.

167

not­Sent­Pac­ketTo­tal­Co­unt

Об­щее чис­ло па­кетов, ко­торое бы­ло сге­нери­рова­но про­цес­сом из­ме­рения и уда­лено про­цес­сом из­ме­рения или про­цес­сом экс­пор­та вмес­то по­сыл­ки их кол­лекто­ру. Су­щест­ву­ет нес­коль­ко по­тен­ци­аль­ных при­чин для это­го, вклю­чая де­фицит ре­сур­сов и спе­ци­аль­ные экс­пор­тные по­лити­ки.

168

not­SentOc­tetTo­tal­Co­unt

Об­щее чис­ло бай­тов, ко­торое бы­ло сге­нери­рова­но про­цес­сом из­ме­рения и уда­лено про­цес­сом из­ме­рения или про­цес­сом экс­пор­та вмес­то по­сыл­ки их кол­лекто­ру. Су­щест­ву­ет нес­коль­ко по­тен­ци­аль­ных при­чин для это­го, вклю­чая де­фицит ре­сур­сов и спе­ци­аль­ные экс­пор­тные по­лити­ки.

169

des­ti­nati­onIPv6Pre­fix

Пре­фикс IPv6 ад­ре­са при­ем­ни­ка

170

so­ur­ce­IPv6Pre­fix

Пре­фикс IPv6 ад­ре­са

171

pos­tOctet­To­tal­Co­unt

Оп­ре­деле­ние это­го ин­форма­ци­он­но­го эле­мен­та яв­ля­ет­ся иден­тичным оп­ре­деле­нию ин­форма­ци­он­но­го эле­мен­та oc­tetTo­tal­Co­unt, за иск­лю­чени­ем то­го, что он со­об­ща­ет по­тен­ци­аль­но мо­дифи­циру­емую ве­личи­ну, ко­торая осу­щест­вля­ет­ся функ­ци­ей про­межу­точ­но­го уст­рой­ства (midd­le­box) пос­ле то­го, как па­кет пос­лан точ­кой наб­лю­дения.

172

post­Pac­ketTo­tal­Co­unt

Оп­ре­деле­ние это­го ин­форма­ци­он­но­го эле­мен­та яв­ля­ет­ся иден­тичным оп­ре­деле­нию ин­форма­ци­он­но­го эле­мен­та pac­ketTo­tal­Co­unt, за иск­лю­чени­ем то­го, что он со­об­ща­ет по­тен­ци­аль­но мо­дифи­циру­емую ве­личи­ну, ко­торая осу­щест­вля­ет­ся функ­ци­ей про­межу­точ­но­го уст­рой­ства (midd­le­box) пос­ле то­го, как па­кет пос­лан точ­кой наб­лю­дения.

173

flow­Ke­yIn­di­cator

Этот на­бор би­товых по­лей ис­поль­зу­ет­ся для по­мет­ки ин­форма­ци­он­ных эле­мен­тов за­писей дан­ных, ко­торые слу­жат Клю­чом По­тока. Каж­дый бит предс­тав­ля­ет ин­форма­ци­он­ный эле­мент в за­писи дан­ных с N-м би­том, предс­тав­ля­ющим N-й ин­форма­ци­он­ных эле­мент. Бит, ус­та­нов­ленный, в 1 по­казы­ва­ет, что со­от­ветс­тву­ющий ин­форма­ци­он­ный эле­мент яв­ля­ет­ся Клю­чом По­тока. Бит, ус­та­нов­ленный в 0, по­казы­ва­ет, что он не ис­поль­зу­ет­ся.

Ес­ли за­пись дан­ных ис­поль­зу­ет бо­лее чем 64 ин­форма­ци­он­ных эле­мен­та, со­от­ветс­тву­ющий Шаб­лон дол­жен быть соз­дан так, что­бы все Клю­чи По­тока на­ходи­лись сре­ди пер­вых 64 ин­форма­ци­он­ных эле­мен­тов, пос­коль­ку flow­Ke­yIn­di­cator со­дер­жит толь­ко 64 би­та. Ес­ли за­пись дан­ных со­дер­жит мень­ше чем 64 ин­форма­ци­он­ных эле­мен­та, то би­ты в flow­Ke­yIn­di­cator, для ко­торых нет ин­форма­ци­он­ных эле­мен­тов, ДОЛЖ­НЫ иметь ве­личи­ну 0.

174

post­MCast­Pac­ketTo­tal­Co­unt

Об­щее чис­ло ис­хо­дящих груп­по­вых (mul­ti­cast) па­кетов пос­ланных для па­кетов это­го По­тока де­моном (скры­тым про­цес­сом) внут­ри наб­лю­да­емо­го до­мена с мо­мен­та ини­ци­али­зации из­ме­ритель­но­го про­цес­са. Это свой­ство не обя­затель­но долж­но наб­лю­дать­ся в точ­ке наб­лю­дения, но мо­жет быть оп­ре­деле­но для дру­гих це­лей.

175

post­MCas­tOctet­To­tal­Co­unt

Об­щее чис­ло байт в ис­хо­дящих груп­по­вых (mul­ti­cast) па­кетах пос­ланных для па­кетов это­го По­тока груп­по­вым де­моном (скры­тым про­цес­сом) внут­ри наб­лю­да­емо­го до­мена с мо­мен­та ини­ци­али­зации из­ме­ритель­но­го про­цес­са. Это свой­ство не обя­затель­но долж­но наб­лю­дать­ся в точ­ке наб­лю­дения, но мо­жет быть оп­ре­деле­но для дру­гих це­лей.

176

icm­pTy­pe­IPv4

Тип ICMP со­об­ще­ния при IPv4 ад­ре­сации

177

icm­pCo­de­IPv4

Код ICMP со­об­ще­ния при IPv4 ад­ре­сации

178

icm­pTy­pe­IPv6

Тип ICMP со­об­ще­ния при IPv6 ад­ре­сации

179

icm­pCo­de­IPv6

Код ICMP со­об­ще­ния при IPv6 ад­ре­сации

180

udp­So­ur­ce­Port

Иден­ти­фика­тор пор­та ис­точни­ка в UDP за­голов­ке

181

udp­Des­ti­nati­on­Port

Иден­ти­фика­тор пор­та при­ем­ни­ка в UDP за­голов­ке

182

tcpSo­ur­ce­Port

Иден­ти­фика­тор пор­та ис­точни­ка в TCP за­голов­ке

183

tcpDes­ti­nati­on­Port

Иден­ти­фика­тор пор­та при­ем­ни­ка в TCP за­голов­ке

184

tcpSe­qu­en­ce­Num­ber

По­ряд­ко­вый но­мер в TCP за­голов­ке

185

tcpAck­now­ledge­ment­Num­ber

Подт­вер­жда­ющий но­мер в TCP за­голов­ке

186

tcpWin­dowSi­ze

По­ле раз­ме­ра ок­на в TCP за­голов­ке. Ес­ли масш­та­биро­вание TCP ок­на под­держи­ва­ет­ся, то это масш­та­биро­вание долж­но быть из­вест­но для пра­виль­ной ин­терп­ре­тации ве­личи­ны этой ин­форма­ции.

187

tcpUr­gent­Po­in­ter

Ука­затель сроч­ности в TCP за­голов­ке

188

tcpHe­ader­Length

Дли­на TCP за­голов­ка. Сле­ду­ет за­метить, что ве­личи­на это­го ин­форма­ци­он­но­го эле­мен­та яв­ля­ет­ся раз­личной в за­виси­мос­ти от ве­личи­ны по­ля Сме­щения Дан­ных (Da­ta Off­set) в TCP за­голов­ке. По­ле Сме­щения Дан­ных по­казы­ва­ет дли­ну TCP за­голов­ка в еди­ницах, рав­ных 4 бай­там. Этот ин­форма­ци­он­ных эле­мент оп­ре­деля­ет дли­ну TCP за­голов­ка в еди­ницах байт.

189

ip­He­ader­Length

Дли­на IP за­голов­ка. Для IPv6 ве­личи­на это­го ин­форма­ци­он­но­го эле­мен­та рав­на 40.

190

to­tal­Leng­thIPv4

Об­щая дли­на IPv4 па­кета.

191

pa­yload­Leng­thIPv6

Ин­форма­ци­он­ный эле­мент отоб­ра­жа­ет ве­личи­ну по­ля Дли­на Дан­ных (Pa­yload Length) в за­голов­ке IPv6.

192

ipTTL

Для IPv4 ве­личи­на это­го по­ля со­от­ветс­тву­ет по­лю Вре­мя Жиз­ни (Ti­me to Li­ve, TTL) в за­голов­ке па­кета. Для IPv6 — по­лю Ог­ра­ниче­ния Пе­ресы­лок (Hop Li­mit) в за­голов­ке па­кета.

193

next­He­ade­rIPv6

Отоб­ра­жа­ет по­ле Сле­ду­юще­го За­голов­ка (Next He­ader) в за­голов­ке IPv6 па­кета.

194

mplsPa­yload­Length

Раз­мер MPLS па­кета без сте­ка мет­ки (la­bel stack).

195

ip­Diff­Ser­vCo­dePo­int

Ве­личи­на Точ­ки ко­да диф­фе­рен­ци­рован­ных ус­луг (Dif­fe­ren­ti­ated Ser­vi­ces Co­de Po­int (DSCP)) за­коди­рован­ная в по­ле Диф­фе­рен­ци­рован­ных ус­луг (Dif­fe­ren­ti­ated Ser­vi­ces).   По­ле Диф­фе­рен­ци­рован­ных ус­луг оп­ре­деля­ет на­ибо­лее важ­ные 6 бит по­ля Тип Сер­ви­са (TOS) в IPv4 или по­ля Класс Тра­фика (Traf­fic Class) в IPv6. В этом эле­мен­те ис­поль­зу­ет­ся толь­ко 6 бит, по­это­му зна­чение эле­мен­та мо­жет быть в ди­апа­зоне 0 — 63.

196

ipP­re­ceden­ce

Зна­чение IP при­ори­тета. Эта зна­чение ко­диру­ет­ся в пер­вых трех би­тах по­ля Тип Сер­ви­са (TOS) для IPv4 или по­ля Класс Тра­фика (Traf­fic Class) в IPv6

197

frag­ment­Flags

Фраг­мента­ция оп­ре­деля­ет­ся фла­гами в за­голов­ке па­кета IPv4 или в за­голов­ке фраг­мента­ции па­кета IPv6

198

oc­tetDel­ta­SumOfS­qua­res

Сум­ма квад­ра­тов чис­ла байт по вхо­дяще­му па­кету с мо­мен­та пре­дыду­щего от­че­та для это­го По­тока в Точ­ке Наб­лю­дения. Чис­ло байт вклю­ча­ет IP за­голо­вок и со­дер­жа­ние па­кета.

199

oc­tetTo­tal­Su­mOfS­qua­res

Об­щая сум­ма квад­ра­тов чис­ла байт по вхо­дящих па­кетах для это­го По­тока в Точ­ке Наб­лю­дения с мо­мен­та ини­ци­али­зации из­ме­ритель­но­го про­цес­са. Чис­ло байт вклю­ча­ет IP за­голо­вок и со­дер­жа­ние па­кета.

200

mplsTop­La­belTTL

По­ле TTL (вре­мя жиз­ни) из MPLS мет­ки в вер­хушке сте­ка, т.е. пос­ледней.

201

mplsLa­belS­tac­kLength

Дли­на MPLS сте­ка в бай­тах.

202

mplsLa­belS­tac­kDepth

Чис­ло ме­ток в сте­ке MPLS ме­ток.

203

mplsTop­La­belExp

По­ле Exp из MPLS мет­ки, на­ходя­щей­ся в вер­хушке сте­ка.

204

ip­Pa­yload­Length

Дей­стви­тель­ная дли­на те­ла IP па­кета. Для па­кетов IPv4 ве­личи­на это­го ин­форма­ци­он­но­го эле­мен­та яв­ля­ет­ся от­личной от дли­ны па­кета IPv4 (в to­tal­Leng­thIPv4) и дли­ной за­голов­ка па­кета (he­ader­Leng­thIPv4). Для IPv6 ве­личи­на это­го эле­мен­та в за­голов­ке па­кета отоб­ра­жа­ет­ся иск­лю­читель­но в слу­чае, ког­да ве­личи­на это­го по­ля рав­на 0 и су­щест­ву­ет по­ле Боль­шой дли­ны (jum­bo pa­yload).

205

udp­Mes­sa­geLength

Зна­чение дли­ны по­ля в UDP за­голов­ке.

206

is­Multi­cast

Ес­ли IP ад­рес при­ем­ни­ка не яв­ля­ет­ся за­резер­ви­рован­ным груп­по­вым (mul­ti­cast) ад­ре­сом, то зна­чение всех бит в бай­те (вклю­чая ре­зерв­ные) рав­но 0. Пер­вый бит это­го бай­та ус­та­нов­лен в 1, ес­ли по­ле Вер­сии в IP за­голов­ке име­ет зна­чение 4 и ес­ли по­ле ад­ре­са при­ем­ни­ка со­дер­жит за­резер­ви­рован­ный груп­по­вой ад­рес в ди­апа­зоне 224.0.0.0 — 239.255.255.255. В про­тив­ном слу­чае этот бит ра­вен 0. Вто­рой и тре­тий би­ты за­резер­ви­рова­ны для бу­дуще­го при­мене­ния. Ос­тавши­еся би­ты ус­та­нав­ли­ва­ют­ся в зна­чение от­личное от 0, ес­ли IP ад­рес при­ем­ни­ка яв­ля­ет­ся за­резер­ви­рован­ным IPv6 груп­по­вым ад­ре­сом. Тог­да чет­вертый бит ус­та­нав­ли­ва­ет­ся в зна­чение T фла­га в IPv6 груп­по­вого ад­ре­са.

207

ipv4IHL

Зна­чение по­ля дли­ны за­голов­ка (In­ternet He­ader Length (IHL) в за­голов­ке Ipv4.

208

ipv4Op­ti­ons

IPv4 па­рамет­ры в па­кете это­го По­тока. Ин­форма­ция ко­диру­ет­ся в на­бор би­товых по­лей. Для каж­до­го IPv4 ти­па па­рамет­ра су­щест­ву­ет бит в этом на­боре. Бит ус­та­нав­ли­ва­ет­ся в 1, ес­ли лю­бой исс­ле­ду­емый па­кет это­го По­тока со­дер­жит со­от­ветс­тву­ющий па­раметр. В про­тив­ном слу­чае зна­чение рав­но 0. Спи­сок па­рамет­ров:http://www.iana.org/as­sign­ments/ip-pa­rame­ters

209

tcpOp­ti­ons

TCP па­рамет­ры в па­кетах это­го По­тока. Ин­форма­ция ко­диру­ет­ся в на­бор би­товых по­лей. Для каж­до­го TCP ти­па па­рамет­ра су­щест­ву­ет бит в этом на­боре. Бит ус­та­нав­ли­ва­ет­ся в 1, ес­ли лю­бой исс­ле­ду­емый па­кет это­го По­тока со­дер­жит со­от­ветс­тву­ющий па­раметр. В про­тив­ном слу­чае зна­чение рав­но 0.

210

pad­dingOc­tets

Зна­чени­ем это­го эле­мен­та яв­ля­ет­ся пос­ле­дова­тель­ность ве­личин 0x00

211

col­lecto­rIPv4Add­ress

IPv4 ад­рес, на ко­торый Экс­пор­ти­ру­емый Про­цесс по­сыла­ет По­ток ин­форма­ции.

212

col­lecto­rIPv6Add­ress

IPv6 ад­рес, на ко­торый Экс­пор­ти­ру­емый Про­цесс по­сыла­ет По­ток ин­форма­ции.

213

ex­portIn­terfa­ce

Ин­декс ин­терфей­са, с ко­торо­го IP­FIX со­об­ще­ния по­сыла­ют­ся Экс­пор­ти­ру­емым Про­цес­сом на Кол­лектор.

214

ex­port­Pro­tocol­Versi­on

Вер­сия про­токо­ла, ис­поль­зу­емая Экс­пор­ти­ру­ющим Про­цес­сом для по­сыл­ки По­токо­вой ин­форма­ции. Вер­сия про­токо­ла за­да­ет­ся зна­чени­ем по­ля Но­мер вер­сии (Ver­si­on Num­ber) в за­голов­ке со­об­ще­ния. Для IP­FIX — зна­чение 10, для NetF­low вер­сии 9 — 9.

215

ex­port­Trans­port­Pro­tocol

Зна­чение но­мера про­токо­ла, ис­поль­зу­емо­го Экс­пор­ти­ру­емым Про­цес­сом для по­сыл­ки По­токо­вой ин­форма­ции. Но­мер про­токо­ла оп­ре­деля­ет тип IP па­кета.

216

col­lectorT­ran­sport­Port

Иден­ти­фика­тор пор­та при­ем­ни­ка, на ко­торый Экс­пор­тный Про­цесс по­сыла­ет По­токо­вую ин­форма­цию.     Для транс­пор­тных про­токо­лов UDP, TCP и SCTP — это но­мер пор­та при­ем­ни­ка.

217

ex­porterT­ran­sport­Port

Иден­ти­фика­тор пор­та ис­точни­ка, с ко­торо­го Экс­пор­тный Про­цесс по­сыла­ет По­токо­вую ин­форма­цию. Для транс­пор­тных про­токо­лов UDP, TCP и SCTP — это но­мер пор­та ис­точни­ка.

218

tcpSyn­To­tal­Co­unt

Об­щее чис­ло па­кетов конк­рет­но­го по­тока с TCP фла­гом "Sync­hro­nize       se­qu­en­ce num­bers" (SYN)

219

tcpFin­To­tal­Co­unt

Об­щее чис­ло па­кетов конк­рет­но­го по­тока с TCP фла­гом "No mo­re da­ta       from sen­der" (FIN)

220

tcpRstTo­tal­Co­unt

Об­щее чис­ло па­кетов конк­рет­но­го по­тока с TCP фла­гом "Re­set the       con­necti­on" (RST)

221

tcpPshTo­tal­Co­unt

Об­щее чис­ло па­кетов конк­рет­но­го по­тока с TCP фла­гом "Push Func­ti­on"       (PSH)

222

tcpAck­To­tal­Co­unt

Об­щее чис­ло па­кетов конк­рет­но­го по­тока с TCP фла­гом "Ack­now­ledg­ment       fi­eld sig­ni­ficant" (ACK)

223

tcpUrg­To­tal­Co­unt

Об­щее чис­ло па­кетов конк­рет­но­го по­тока с TCP фла­гом "Ur­gent Po­in­ter       fi­eld sig­ni­ficant" (URG)

224

ip­To­tal­Length

Об­щая дли­на IP па­кета.

237

postMplsTop­La­belExp

Оп­ре­деле­ние это­го ин­форма­ци­он­но­го эле­мен­та иден­тично оп­ре­деле­нию ин­форма­ци­он­но­го эле­мен­та mplsTop­La­belExp за иск­лю­чени­ем то­го, что он отоб­ра­жа­ет по­тен­ци­аль­но мо­дифи­циру­емое зна­чение функ­ци­ей про­межу­точ­но­го уст­рой­ства (midd­le­box func­ti­on) пос­ле то­го, как па­кет прой­дет точ­ку наб­лю­дения.

238

tcpWin­dowS­ca­le

Масш­та­биро­вание по­ля ок­на в TCP за­голов­ке.

Ин­форма­ци­он­ные эле­мен­ты в IP­FIX про­токо­ле раз­би­ты на 12 групп:

1. Иден­ти­фика­торы.

2. Кон­фи­гура­ция про­цес­сов из­ме­рения и экс­пор­та.

3. Ста­тис­ти­ка про­цес­сов из­ме­рения и экс­пор­та.

4. По­ля IP за­голов­ка.

5. По­ля транс­пор­тно­го за­голов­ка.

6. По­ля под­за­голов­ка.

7. Изв­ле­чен­ные па­кет­ные свой­ства.

8. Ми­нималь­ные/ мак­си­маль­ные свой­ства по­тока.

9. Вре­мен­ные па­рамет­ры по­тока.

10. Счет­чи­ки по по­току.

11. Раз­носто­рон­ние свой­ства по­тока.

12. До­пол­не­ние.

Ин­форма­ци­он­ные эле­мен­ты, ко­торые изв­ле­ка­ют­ся из по­лей па­кетов или по­луча­ют­ся в ре­зуль­та­те об­ра­бот­ки па­кетов, та­кие как эле­мен­ты в груп­пах 4-7, мо­гут обыч­но при­менять­ся в ка­чест­ве По­токо­вых клю­чей (Flow Ke­ys), ко­торые ис­поль­зу­ют­ся для при­вяз­ки па­кетов к По­токам.

Ес­ли они не ис­поль­зу­ют­ся, как По­токо­вые клю­чи, то их зна­чения мо­гут из­ме­нять­ся от па­кета к па­кету внут­ри од­но­го По­тока. Для ин­форма­ци­он­ных эле­мен­тов со зна­чени­ями, ко­торые изв­ле­ка­ют­ся из по­лей па­кетов или по­луча­ют­ся в ре­зуль­та­те об­ра­бот­ки па­кетов, и для ко­торых зна­чение мо­жет из­ме­нять­ся о па­кета к па­кету внут­ри од­но­го По­тока, ин­форма­ци­он­ная мо­дель IP­FIX счи­та­ет, что их зна­чение оп­ре­деля­ют­ся пер­вым па­кетом, наб­лю­да­емым в со­от­ветс­тву­ющем По­токе, кро­ме опи­сания ин­форма­ци­он­но­го эле­мен­та нап­ря­мую оп­ре­делен­но­го в раз­личных се­ман­ти­ках. Это прос­тое пра­вило оп­ре­деля­ет за­пись всех ин­форма­ци­он­ных эле­мен­тов, свя­зан­ных с по­лями за­голов­ка еди­нож­ды тог­да, ког­да наб­лю­да­ет­ся пер­вый па­кет По­тока. Для исс­ле­ду­емых в даль­ней­шем па­кетах это­го же По­тока, толь­ко те свой­ства По­тока, ко­торые за­висят от бо­лее чем од­но­го па­кета, та­ких как ин­форма­ци­он­ных эле­мен­тов в груп­пах 8-11, не­об­хо­димо бу­дет до­бавить.

 Иден­ти­фика­торы

Ин­форма­ци­он­ные эле­мен­ты, ука­зан­ные ни­же, яв­ля­ют­ся иден­ти­фика­ци­он­ны­ми   ком­по­нен­та­ми IP­FIX ар­хи­тек­ту­ры, IP­FIX уст­рой­ств или IP­FIX про­токо­ла. Обыч­но, они ис­поль­зу­ют­ся для ог­ра­ниче­ния гра­ниц дру­гих ин­форма­ци­он­ных эле­мен­тов (таб­ли­ца 4).

Таб­ли­ца 4

ID

На­име­нова­ние

ID

На­име­нова­ние

141

li­neCar­dId

148

flo­wId

142

por­tId

145

temp­la­te­Id

10

ing­res­sInter­fa­ce

149

ob­serva­ti­on­Do­ma­inId

14

eg­ressIn­terfa­ce

138

ob­serva­ti­on­Po­in­tId

143

me­tering­Pro­ces­sId

137

com­monP­ro­per­ti­esId

144

ex­porting­Pro­ces­sId

 

 

 

Кон­фи­гура­ция про­цес­сов из­ме­рения и экс­пор­та

При­веден­ные в таб­ли­це ни­же пе­речень ин­форма­ци­он­ных эле­мен­тов ис­поль­зу­ют­ся для кон­фи­гура­ции про­цес­сов из­ме­рения и экс­пор­та.

Таб­ли­ца 5

ID

На­име­нова­ние

ID

На­име­нова­ние

130

ex­porte­rIPv4Add­ress

213

ex­portIn­terfa­ce

131

ex­porte­rIPv6Add­ress

214

ex­port­Pro­tocol­Versi­on

217

ex­porterT­ran­sport­Port

215

ex­port­Trans­port­Pro­tocol

211

col­lecto­rIPv4Add­ress

216

col­lectorT­ran­sport­Port

212

col­lecto­rIPv6Add­ress

173

flow­Ke­yIn­di­cator

 

Ста­тис­ти­ка про­цес­сов из­ме­рения и экс­пор­та

Ин­форма­ци­он­ные эле­мен­ты это­го сек­то­ра опи­сыва­ют ста­тис­ти­ку про­цес­сов из­ме­рения и экс­пор­та. Пе­речень их при­веден в таб­ли­це ни­же.

Таб­ли­ца 6

ID

На­име­нова­ние

ID

На­име­нова­ние

41

ex­ported­Messa­geTo­tal­Co­unt

165

ig­no­redOc­tetTo­tal­Co­unt

40

ex­porte­dOc­tetTo­tal­Co­unt

166

not­Sent­Flow­To­tal­Co­unt

42

ex­portedF­low­Re­cord­To­tal­Co­unt

167

not­Sent­Pac­ketTo­tal­Co­unt

163

ob­servedF­low­To­tal­Co­unt

168

not­SentOc­tetTo­tal­Co­unt

164

ig­no­red­Packet­To­tal­Co­unt

 

 

 

По­ля IP за­голов­ка

Ин­форма­ци­он­ные по­ля это­го раз­де­ла отоб­ра­жа­ют зна­чения по­лей IP за­голов­ка или ве­личи­ны, изв­ле­чен­ные из IP за­голов­ков.

Таб­ли­ца 7

ID

На­име­нова­ние

ID

На­име­нова­ние

60

ip­Versi­on

193

next­He­ade­rIPv6

8

so­ur­ce­IPv4Add­ress

195

ip­Diff­Ser­vCo­dePo­int

27

so­ur­ce­IPv6Add­ress

196

ipP­re­ceden­ce

9

so­ur­ce­IPv4Pre­fix­Length

5

ipC­las­sOfSer­vi­ce

29

so­ur­ce­IPv6Pre­fix­Length

55

pos­tIpC­las­sOfSer­vi­ce

44

so­ur­ce­IPv4Pre­fix

31

flow­La­belIPv6

170

so­ur­ce­IPv6Pre­fix

206

is­Multi­cast

12

des­ti­nati­onIPv4Add­ress

54

frag­mentI­den­ti­fica­ti­on

28

des­ti­nati­onIPv6Add­ress

88

frag­mentOff­set

13

des­ti­nati­onIPv4Pre­fix­Length

197

frag­ment­Flags

30

des­ti­nati­onIPv6Pre­fix­Length

189

ip­He­ader­Length

45

des­ti­nati­onIPv4Pre­fix

207

ipv4IHL

169

des­ti­nati­onIPv6Pre­fix

190

to­tal­Leng­thIPv4

192

ipTTL

224

ip­To­tal­Length

4

pro­toco­lIden­ti­fi­er

191

pa­yload­Leng­thIPv6

 

По­ля транс­пор­тно­го за­голов­ка

На­бор ин­форма­ци­он­ных эле­мен­тов от­но­сящих­ся к по­лям транс­пор­тно­го за­голов­ка.

Таб­ли­ца 8

ID

На­име­нова­ние

ID

На­име­нова­ние

7

so­ur­ceTrans­por­tPort

238

tcpWin­dowS­ca­le

11

des­ti­nati­onT­ran­sport­Port

187

tcpUr­gent­Po­in­ter

180

udp­So­ur­ce­Port

188

tcpHe­ader­Length

181

udp­Des­ti­nati­on­Port

32

icm­pTy­peCo­de­IPv4

205

udp­Mes­sa­geLength

176

icm­pTy­pe­IPv4

182

tcpSo­ur­ce­Port

177

icm­pCo­de­IPv4

183

tcpDes­ti­nati­on­Port

139

icm­pTy­peCo­de­IPv6

184

tcpSe­qu­en­ce­Num­ber

178

icm­pTy­pe­IPv6

185

tcpAck­now­ledge­ment­Num­ber

179

icm­pCo­de­IPv6

186

tcpWin­dowSi­ze

33

igm­pTy­pe

 

По­ля под­за­голов­ка

Пе­речень ин­форма­ци­он­ных эле­мен­тов, вхо­дящих в этот на­бор при­веден в таб­ли­це ни­же.

Таб­ли­ца 9

ID

На­име­нова­ние

ID

На­име­нова­ние

56

so­ur­ce­MacAdd­ress

201

mplsLa­belS­tac­kLength

81

post­So­ur­ce­MacAdd­ress

194

mplsPa­yload­Length

58

vla­nId

70

mplsTop­La­belS­tac­kSec­ti­on

59

post­Vla­nId

71

mplsLa­belS­tac­kSec­ti­on2

80

des­ti­nati­on­Ma­cAdd­ress

72

mplsLa­belS­tac­kSec­ti­on3

57

post­Des­ti­nati­on­Ma­cAdd­ress

73

mplsLa­belS­tac­kSec­ti­on4

146

wlanC­han­ne­lId

74

mplsLa­belS­tac­kSec­ti­on5

147

wlanS­SID

75

mplsLa­belS­tac­kSec­ti­on6

200

mplsTop­La­belTTL

76

mplsLa­belS­tac­kSec­ti­on7

203

mplsTop­La­belExp

77

mplsLa­belS­tac­kSec­ti­on8

237

postMplsTop­La­belExp

78

mplsLa­belS­tac­kSec­ti­on9

202

mplsLa­belS­tac­kDepth

79

mplsLa­belS­tac­kSec­ti­on10

 

Изв­ле­чен­ные па­кет­ные свой­ства

На­бор ин­форма­ци­он­ных эле­мен­тов, изв­ле­чен­ных из па­кет­ных свой­ств (нап­ри­мер, зна­чения по­лей за­голов­ка) вклю­ча­ют эле­мен­ты, пе­речис­ленные в таб­ли­це ни­же.

Таб­ли­ца 10

ID

На­име­нова­ние

ID

На­име­нова­ние

204

ip­Pa­yload­Length

18

bgpNext­Ho­pIPv4Add­ress

15

ip­Next­Ho­pIPv4Add­ress

63

bgpNext­Ho­pIPv6Add­ress

62

ip­Next­Ho­pIPv6Add­ress

46

mplsTop­La­bel­Ty­pe

16

bgpSo­ur­ce­As­Number

47

mplsTop­La­belIPv4Add­ress

17

bgpDes­ti­nati­onAs­Number

140

mplsTop­La­belIPv6Add­ress

128

bgpNex­tAdja­cen­tAsNum­ber

90

mplsVpnRo­ute­Dis­tingu­is­her

129

bgpPre­vAd­ja­cen­tAsNum­ber

 

 

 

Ми­нималь­ные/мак­си­маль­ные па­рамет­ры по­тока

Таб­ли­ца 11

ID

На­име­нова­ние

ID

На­име­нова­ние

25

mi­nimu­mIp­To­tal­Length

208

ipv4Op­ti­ons

26

ma­ximu­mIp­To­tal­Length

64

ipv6Ex­tensi­on­He­aders

52

mi­nimumTTL

6

tcpCont­rol­Bits

53

ma­ximumTTL

209

tcpOp­ti­ons

 

Вре­мен­ные па­рамет­ры по­тока

Ин­форма­ци­он­ные эле­мен­ты flowS­tar­tSe­conds, flo­wEnd­Se­conds, flowS­tar­tMil­li­seconds, flo­wEnd­Mil­li­seconds, flowS­tar­tMic­ro­seconds, flo­wEnd­Mic­ro­seconds,     flowS­tar­tNa­nose­conds, flo­wEnd­Na­nose­conds и sys­te­mInit­Ti­meMil­li­seconds яв­ля­ют­ся аб­со­лют­ны­ми и по­казы­ва­ют вре­мя в се­кун­дах с 00:00 UTC 1 ян­ва­ря 1970 го­да.

Ин­форма­ци­он­ные эле­мен­ты flowS­tar­tDel­ta­Mic­ro­seconds и flo­wEnd­Del­ta­Mic­ro­seconds яв­ля­ют­ся от­но­ситель­ны­ми и дей­стви­тель­ны толь­ко в рам­ках од­но­го IP­FIX со­об­ще­ния. Они со­дер­жат вре­мя от­ри­цатель­но­го сме­щения от­но­ситель­но вре­мени экс­пор­та, ука­зан­но­го в за­голов­ке IP­FIX со­об­ще­ния. Мак­си­маль­ное зна­чение сме­щения мо­жет быть 1 час 11 ми­нут 34,967295 се­кунд.

Ин­форма­ци­он­ные эле­мен­ты flowS­tar­tSy­sUp­Ti­me и flo­wEnd­Sy­sUp­Ti­me предс­тав­ля­ют от­но­ситель­ное вре­мя по от­но­шению к пос­ледней ини­ци­али­зации IP­FIX уст­рой­ства.

Таб­ли­ца 12

ID

На­име­нова­ние

ID

На­име­нова­ние

150

flowS­tar­tSe­conds

156

flowS­tar­tNa­nose­conds

151

flo­wEnd­Se­conds

157

flo­wEnd­Na­nose­conds

152

flowS­tar­tMil­li­seconds

158

flowS­tar­tDel­ta­Mic­ro­seconds

153

flo­wEnd­Mil­li­seconds

159

flo­wEnd­Del­ta­Mic­ro­seconds

154

flowS­tar­tMic­ro­seconds

160

sys­te­mInit­Ti­meMil­li­seconds

155

flo­wEnd­Mic­ro­seconds

22

flowS­tar­tSy­sUp­Ti­me

 

 

21

flo­wEnd­Sy­sUp­Ti­me

 

По­токо­вые счет­чи­ки

Ин­форма­ци­он­ные эле­мен­ты это­го раз­де­ла яв­ля­ют­ся счет­чи­ками, ко­торые со­дер­жат це­лые зна­чения. Эти зна­чение мо­гут из­ме­нять­ся для каж­до­го от­че­та, где они ис­поль­зу­ют­ся. Они не мо­гут слу­жить По­токо­выми Клю­чами. Од­на­ко, по­тен­ци­аль­но они мо­гут ис­поль­зо­вать­ся для вы­бора экс­пор­ти­ру­емых по­токов, нап­ри­мер, толь­ко по­токов с чис­лом пе­редан­ных байт бо­лее оп­ре­делен­но­го по­рога.

Су­щест­ву­ют ра­бочие счет­чи­ки и из­ме­ня­емые (del­ta) счет­чи­ки. Из­ме­ня­емые счет­чи­ки сбра­сыва­ют­ся в 0 каж­дый раз, ког­да их зна­чение экс­пор­ти­ру­ет­ся. Ра­бочие счет­чи­ки на­кап­ли­ва­ют зна­чение пос­то­ян­но, не­зави­симо от экс­пор­ти­ру­емо­го про­цес­са.

Су­щест­ву­ют по­токо­вые счет­чи­ки (по по­току) и счет­чи­ки свя­зан­ные с про­цес­са­ми из­ме­рения и экс­пор­та. По­токо­вые счет­чи­ки отоб­ра­жа­ют свой­ства по­тока и по­тен­ци­аль­но мо­гут из­ме­нять­ся каж­дый раз, ког­да исс­ле­ду­ет­ся па­кет, при­над­ле­жащий по­току.

Таб­ли­ца 13

ID

На­име­нова­ние

ID

На­име­нова­ние

1

oc­tetDel­ta­Co­unt

134

drop­pe­dOc­tetTo­tal­Co­unt

23

pos­tOctet­Delta­Co­unt

135

drop­pedPac­ketTo­tal­Co­unt

198

oc­tetDel­ta­SumOfS­qua­res

19

post­MCast­Pac­ketDel­ta­Co­unt

85

oc­tetTo­tal­Co­unt

20

post­MCast­Pac­ketDel­ta­Co­unt

171

pos­tOctet­To­tal­Co­unt

174

post­MCast­Pac­ketTo­tal­Co­unt

199

oc­tetTo­tal­Su­mOfS­qua­res

175

post­MCas­tOctet­To­tal­Co­unt

2

pac­ketDel­ta­Co­unt

218

tcpSyn­To­tal­Co­unt

24

post­Pac­ketDel­ta­Co­unt

219

tcpFin­To­tal­Co­unt

86

pac­ketTo­tal­Co­unt

220

tcpRstTo­tal­Co­unt

172

post­Pac­ketTo­tal­Co­unt

221

tcpPshTo­tal­Co­unt

132

drop­pe­dOc­tetDel­ta­Co­unt

222

tcpAck­To­tal­Co­unt

133

drop­pedPac­ketDel­ta­Co­unt

223

tcpUrg­To­tal­Co­unt

 

Раз­носто­рон­ние свой­ства по­тока

Ин­форма­ци­он­ные эле­мен­ты это­го раз­де­ла от­но­сят­ся к та­ким свой­ствам по­тока, как его на­чало, про­дол­жи­тель­ность, окон­ча­ние, но они не яв­ля­ют­ся вре­мен­ны­ми мет­ка­ми.

Таб­ли­ца 14

ID

На­име­нова­ние

ID

На­име­нова­ние

36

flo­wAc­ti­veTi­me­out

161

flow­Du­rati­on­Milli­seconds

37

flo­wId­le­Time­out

162

flow­Du­rati­on­Micro­seconds

136

flo­wEnd­Re­ason

61

flow­Di­rec­ti­on

До­пол­не­ние

Таб­ли­ца 15

ID

На­име­нова­ние

ID

На­име­нова­ние

210

pad­dingOc­tets

 

 

Как вид­но из при­веден­но­го вы­ше ма­тери­ала в IP­FIX про­токол по срав­не­нию с NetF­low вер­сии 9 до­бав­ле­но зна­читель­ное чис­ло ИЭ. Но да­леко не всег­да поль­зо­вате­лю нуж­ны все эти ИЭ. И, ес­тест­вен­но, что ес­ли обо­рудо­вание бу­дет для экс­пор­тных за­писей фор­ми­ровать весь воз­можный пе­речень ИЭ, тем боль­шие наг­рузки на про­цес­сор и па­мять это­го обо­рудо­вания бу­дут тре­бовать­ся для этой це­ли. Кро­ме это­го бу­дут за­нимать­ся до­пол­ни­тель­ные се­тевые ре­сур­сы для пе­реда­чи экс­пор­тных за­писей на кол­лектор. По­это­му, ес­ли обо­рудо­вание поз­во­ля­ет выб­рать не­об­хо­димый пе­речень по­лей, то сто­ит вос­поль­зо­вать­ся этой воз­можность и за­дать толь­ко те, ко­торые вам не­об­хо­димы.

Су­щест­ву­ют и дру­гие спо­собы умень­шить объем об­ра­баты­ва­емой ин­форма­ции о по­токах и, со­от­ветс­твен­но, объем пе­реда­ва­емой по се­ти IP­FIX ин­форма­ции. Та­кими спо­соба­ми яв­ля­ют­ся вы­бор­ки, филь­тра­ция (опи­сыва­емые в RFC 5473-5475) и аг­ре­гация. По аг­ре­гации су­щест­ву­ет по­ка лишь про­ект стан­дарта [8].

 При­ложе­ния на ос­но­ве IP­FIX

Ком­па­ния "Софт Пи Ай" мо­жет пред­ло­жить свои прог­рамм­ные про­дук­ты, пост­ро­ен­ные на ос­но­ве IP­FIX про­токо­ла:

 1. Бил­линго­вая сис­те­ма Ta­ris­co­pe

Ta­ris­co­pe со­дер­жит NetF­low кол­лектор, обес­пе­чива­ющий сбор ин­форма­ции о се­тевых по­токах на ос­но­ве про­токо­лов IP­FIX, NetF­low и rFlow для уче­та ис­поль­зу­емых се­тевых ре­сур­сов. NetF­low кол­лектор ра­бота­ет, как служ­ба опе­раци­он­ной сис­те­мы Win­dows. Эк­ран наст­рой­ки па­рамет­ров этой служ­бы по­казан на ри­сун­ке 2.

NetF­low кол­лектор ра­бота­ет толь­ко че­рез UDP порт. Но­мер пор­та мо­жет наст­ра­ивать­ся.   Име­ет­ся воз­можность за­писи "сы­рого" по­тока IP­FIX дан­ных в файл, что поз­во­ля­ет при не­об­хо­димос­ти пов­торно пе­ре­об­ра­ботать дан­ные.

Для умень­ше­ния объема ба­зы дан­ных, что яв­ля­ет­ся су­щест­вен­ным при боль­шом чис­ле або­нен­тов, кол­лектор поз­во­ля­ет аг­ре­риро­вать дан­ные IP­FIX про­токо­ла до уров­ня IP се­тей.

В наст­рой­ке кол­лекто­ра име­ет­ся воз­можность за­дания ре­жима та­рифи­кации: в ре­жиме ре­аль­но­го вре­мени или по ини­ци­ати­ве ад­ми­нист­ра­тора сис­те­мы.

Для уче­та ра­боты NetF­low кол­лекто­ра мож­но за­дать раз­личные уров­ни про­токо­лиро­вания, что при не­об­хо­димос­ти мо­жет поз­во­лить вы­явить ка­кие-ли­бо проб­ле­мы.

Бил­линго­вая сис­те­ма Ta­ris­co­pe обес­пе­чива­ет ве­дение еди­ного сче­та для або­нен­та, как по ус­лу­гам дос­ту­па к ин­тернет, так и за ус­лу­ги те­лефо­нии или ка­кие-ли­бо дру­гие ус­лу­ги свя­зи.

Бо­лее под­робную ин­форма­цию по бил­линго­вому комп­лек­су Ta­ris­co­pe, а так­же его три­ал-вер­сию мож­но по­лучить на сай­те:http://www.ta­ris­co­pe.com

Рисунок 2

2. Soft­PI NetF­low Col­lector

Soft­PI NetF­low Col­lector предс­тав­ля­ет со­бой кол­лектор, обес­пе­чива­ющий сбор IP­FIX или NetF­low (вер­сии 5 или 9) про­токо­лов в ба­зу дан­ный Mis­co­soft SQL или MySQL сер­ве­ров (ри­сунок 3).

Рисунок 3

Для оп­ти­маль­но­го ис­поль­зо­вания дис­ко­вого прост­ранс­тва, ис­поль­зу­емо­го ба­зой дан­ных Soft­PI NetF­low­Collec­tor, поль­зо­ватель мо­жет ука­зать для сох­ра­нения в этой ба­зе дан­ных, толь­ко не­об­хо­димых ему по­лей. Кро­ме это­го мож­но выб­рать так­же аг­ре­гацию дан­ных по це­лому ря­ду па­рамет­ров. Под­робную ин­форма­цию по Soft­PI NetF­low­Collec­tor мож­но по­лучить на сай­те: http://www.soft­pi­ua.com/ru/pro­ducts/soft­pi/netf­low-col­lector.html

 

Ли­тера­тура

1. Что та­кое NetF­low. http://soft­pi.com.ua/fi­les/what_is_NetF­low.pdf

2. RFC 2975. B. Abo­ba, J. Ark­ko, D. Har­ring­ton. Int­ro­duc­ti­on to Ac­co­un­ting Ma­nage­ment.

3. NN48500-595. Ava­ya Et­hernet Ro­uting Switch 4500, 5000, 8300, 8600. IP­FIX Tech­ni­cal Con­fi­gura­ti­on Gu­ide. 2010.

4. NN47200-505. Nor­tel Et­hernet Ro­uting Switch 5000 Se­ri­es. Configu­rati­on — Sys­tem Mo­nito­ring. Re­le­ase 6.2. 2010

5. RFC 5477. T. Di­etz, B. Cla­ise, P. Ait­ken, F. Dress­ler, G. Car­le. In­forma­ti­on Mo­del for Pac­ket Samp­ling Ex­ports.

6. Что та­кое RA­DI­US. http://www.soft­pi.com.ua/ru/soft­pi-ra­di­us/what-is-ra­di­us.html

7. RFC 3954. B. Cla­ise, Ed. Cis­co Sys­tems NetF­low Ser­vi­ces Ex­port Ver­si­on 9.

8. In­ternet-Draft. F. Dress­ler, C. Som­mer,   Univ. Er­langen, G. Mu­enz, Univ. Tu­ebin­gen, A. Ko­ba­yas­hi, NTT PF Lab. IP­FIX Flow Agg­re­gati­on.

Soft­PI,

В.В. Пи­тутин.