IP Flow In­forma­ti­on Ex­port можна перекласти як «Експорт інформації по IP потоку». Далі для стислості будемо використовувати скорочення IP­FIX.

Протокол IPFIX фактично є розвитком NetFlow протоколу версії 9 компанії Cisco Systems. Про особливості протоколу NetFlow і його різних версіях можна прочитати в статті компанії SoftPI: "Що таке NetFlow" [1].

Протокол IPFIX прийнятий Спеціальною комісією інтернет-розробок (Internet Engineering Task Force, IETF) і опублікований в ряді RFC документів, перелік яких наведено в таблиці 1.

Таб­ли­ця 1

До­кумент Наз­ва­ Короткий опис
RFC 3917 Вимоги до IP­FIX

Re­qu­ire­ments for IP Flow In­forma­ti­on Ex­port (IP­FIX)

Даються основні визначення, використовувані для IPFIX протоколу: IP потік, точка спостереження, вимірювальний процес, потоковий запис та інші. Розглядаються додатки, які можуть використовувати IPFIX: облік використання мережевих ресурсів, аналіз трафіку, обслуговування трафіку, виявлення мережевих атак і вторгнень, моніторинг якості сервісу (QoS). Розглядаються параметри, для виділення потоків, вимоги до процесів вимірювання, експорту, конфігурації процесів і загальні вимоги.
RFC 5101 Опи­с IP­FIX про­токо­лу

Spe­cifi­cati­on of the IP Flow In­forma­ti­on Ex­port (IP­FIX) Pro­tocol for the Exc­han­ge of IP Traf­fic Flow In­forma­ti­on

Описується формат IPFIX сполучення, зв'язку з інформаційною моделлю, транспортні протоколи (SCTP, UDP, TCP), вимоги щодо захисту.
RFC 5102 Інформаційна мо­дель для IP­FIX

In­forma­ti­on Mo­del for IP Flow In­forma­ti­on Ex­port

Описуються типи використовуваних полів для інформаційних елементів IPIX, структура інформаційних елементів, і наводиться опис кожного інформаційного елемента.
RFC 5103 Експорт двонаправленого потоку використовуючи IPFIX.

Bi­direc­ti­onal Flow Ex­port Using IP Flow In­forma­ti­on Ex­port (IP­FIX)

Розглядається експортний метод для IPFIX протоколу, заснований на понятті двонаправленого потоку.
RFC 5153 Рекомендації по впровадженню IP­FIX

IP Flow In­forma­ti­on Ex­port (IP­FIX) Imp­le­men­ta­ti­on Gu­ide­lines

Даються рекомендації з управління шаблонами, експортним процесом, процесом збору даних, з використання транспортного протоколу, рекомендації з безпеки і розширенню інформаційної моделі..
RFC 5470 Ар­хі­тек­ту­ра IP­FIX

Arc­hi­tec­tu­re for IP Flow In­forma­ti­on Ex­port

Визначається архітектура для моніторингу, вимірювання та експорту інформації по IP потокам. Описуються окремі компоненти архітектури та їх функції.
RFC 5471 Рекомендації для тестування IPFIX

Gu­ide­lines for IP Flow In­forma­ti­on Ex­port (IP­FIX) Tes­ting

Вказані вимоги з тестування системи збору інформації про IP потоках на базі протоколу IPFIX.
RFC 5472 Застосовність IPFIX

IP Flow In­forma­ti­on Ex­port (IP­FIX) App­li­cabi­lity

Описується, як типові додатки можуть використовувати IPFIX протокол, показані можливості та обмеження цього протоколу. Також розглядаються питання взаємозв'язку IPFIX з іншими протоколами (PSAMP, RMON, IPPM, AAA).
RFC 5473
Зменшення надмірності IPFIX і вибірка пакетів

Re­ducing Re­dun­dancy in IP Flow In­forma­ti­on Ex­port (IP­FIX) and Pac­ket Samp­ling (PSAMP) Re­ports

Описується протокол вибірки пакетів для зменшення смуги пропускання, необхідної для експорту інформації про потоки з використанням IPFIX протоколу.
RFC 5474 Структура для вибірки пакетів та звітності

A Fra­mework for Pac­ket Se­lec­ti­on and Re­por­ting

Описується структура для протоколу вибірки пакетів (PSAMP). Функціями цього протоколу є вибір пакетів з потоку відповідно до стандартизованими фільтрами, формування інформації за відібраними пакетам та експорт цієї інформації на колектор.
RFC 5475 Технології вибірки і фільтрації для відбору IP пакетів

Samp­ling and Fil­te­ring Tech­ni­qu­es for IP Pac­ket Se­lec­ti­on

Описується технології вибірки і фільтрації для IP пакетів. Дається класифікація схем вибірки і визначаються параметри, для опису найбільш загальних схем вибірки пакетів.
RFC 5610 Експорт типовий інформації для інформаційних елементів IPFIX

Ex­porting Ty­pe In­forma­ti­on for IP Flow In­forma­ti­on Ex­port (IP­FIX) In­forma­ti­on Ele­ments

Описується загальний механізм для кодування повного набору параметрів, доступних для визначення інформаційних елементів усередині інформаційної моделі IPFIX.
RFC 5655 Специфікація формату файлу для IPFIX

Spe­cifi­cati­on of the IP Flow In­forma­ti­on Ex­port (IP­FIX) Fi­le For­mat

Описується формат файлу для зберігання потокових даних IPFIX протоколу.
RFC 5815 Визначення керованих об'єктів для IPFIX

De­fini­ti­ons of Ma­naged Ob­jects for IP Flow In­forma­ti­on Ex­port

Описуються два MIB модуля для моніторингу IPFIX пристроїв, включаючи експортерів та колекторів, які містять стандартизовані методи вибірки пакетів.
RFC 5982 Посередник IPFIX: постановка завдання

IP Flow In­forma­ti­on Ex­port (IP­FIX) Me­di­ation: Prob­lem Sta­tement

Інформація IPFIX протоколу може використовуватися одночасно різними додатками. Але ці програми висувають різні вимоги до вимірювального процесу. Для вирішення такої проблеми пропонується використання IPFIX посередника (Mediation), опис якого і наводиться в даному документі.

В RFC 3917 дається визначення IP потоку^

IP по­тік — це набір IP пакетів, що проходять через точку спостереження в мережі за певний часовий інтервал. Всі пакети, що належать до певного потоку мають перелік спільних властивостей. Кожне з властивостей визначаться як результат застосування функції до значень з: 

  1. одного або більше пакетних полів заголовка (наприклад, IP адреса приймача пакетів), поля транспортного заголовка (наприклад, номер порту приймача пакетів) або поля заголовка програми (наприклад, поля заголовка RTP протоколу);
  2. одного або більше параметра самого пакета (наприклад, число MPLS міток тощо);
  3. одного або більше полів, витягнутих з тіла пакета (наприклад, IP адреса наступного маршрутизатора (hop), вихідний інтерфейс і т.п.).

Пакет вважається належить до потоку, якщо він повністю відповідає всім параметрам потоку.

Приклад мережевого потоку через мережевий інтерфейс 1 з IP порту 61418 з IP адресою 10.10.5.24 на IP порт 5060 мережевого пристрою з IP адресою 195.5.0.118 з використанням протоколу UDP і типом сервісу, рівним 0, показаний на малюнку 1.

Наведемо визначення ще кількох понять з RFC 3917, які часто зустрічаються в документах по IPFIX.

Точка спостереження - це місце в мережі, в якій відбувається відстеження IP пакетів. В якості прикладів можна навести: порт маршрутизатора, набір інтерфейсів (фізичних або логічних) маршрутизатора, мережевий інтерфейс комп'ютера і т.п.

Процес вимірювання генерує потокові записи. Вхідний інформацією для цього процесу є пакетні заголовки, які спостерігаються в точці спостереження і тіло (вміст) пакета. Процес вимірювання складається з набору функцій, які включають захоплення, визначення часових параметрів, вибірку, класифікацію пакетних заголовків і адміністрування потокових записів. Адміністрування потокових записів може включати створення нових записів, оновлення вже існуючих, обчислення статистичних параметрів потоку, витяг додаткових потокових параметрів, визначення закінчення потоку, передача потокових записів в експортний процес і видалення потокових записів.

Потокова запис містить інформацію про конкретний потоці, параметри якого визначалися в точці спостереження.

Експортний процес посилає потокові записи на один або більше колекторних процесів.

Колекторний процес отримує потокові записи від одного або більше експортних процесів. Колекторний процес може зберігати отримані потокові записи для їх подальшої обробки.Програми, які виконують колекторний процес називаються колекторами (IPFIX колекторами або NetFlow колекторами).

 

МАЛЮНОК 1

Сфери застосування IPFIX

Основні сфери застосування IPFIX протоколу перераховані в RFC 3917 і більш докладно розглядаються в RFC 5472. Основними сферами застосування цього протоколу вважаються:

  • облік використання мережевих ресурсів,
  • аналіз трафіку,
  • адміністрування трафіку,
  • виявлення мережевих атак і вторгнень,
  • моніторинг якості сервісу (QoS).

Розглянемо кожне з них більш докладно.

 

Учет ис­поль­зо­вания се­тевых ре­сур­сов

Ис­поль­зо­вание IP­FIX за­писей обес­пе­чива­ет точ­ную ин­форма­цию по при­нято­му и пе­редан­но­му се­тево­му тра­фику конк­рет­ным поль­зо­вате­лем се­тевых ре­сур­сов. Од­на­ко, в боль­шинс­тве слу­ча­ев IP­FIX про­токол, как и NetF­low, не поз­во­ля­ют оп­ре­делить ка­кое конк­рет­но при­ложе­ние ис­поль­зо­валось поль­зо­вате­лем. В то­же вре­мя у ин­тернет про­вай­де­ров су­щест­ву­ет тен­денция к пре­дос­тавле­нию без­ли­мит­но­го дос­ту­па с при­мене­ни­ем до­пол­ни­тель­ных та­рифов за поль­зо­вание ка­кими-то спе­ци­аль­ны­ми ин­тернет-сер­ви­сами (IPTV, IP те­лефо­ния, ви­део по зап­ро­су и т.п.). По­это­му ис­поль­зо­вание IP­FIX про­токо­ла в бил­линго­вых це­лях ак­ту­аль­но толь­ко при ис­поль­зо­вании та­рифов за при­нятый/пе­редан­ных объем дан­ных.

Сог­ласно RFC 5472 учет ис­поль­зо­ван­ных се­тевых ре­сур­сов мо­жет ос­но­вывать­ся на по­токах меж­ду IP ад­ре­сами или на клас­си­фици­ру­емых сер­ви­сах. В пер­вом слу­чае ис­поль­зу­ют­ся сле­ду­ющие ин­форма­ци­он­ные эле­мен­ты (по­ля):

  • IP ад­рес ис­точни­ка по­тока (so­ur­ce­IPv4Add­ress или so­ur­ce­IPv6Add­ress – при ис­поль­зо­вании, со­от­ветс­твен­но, IPv4 или IPv6)*,
  • IP ад­рес при­ем­ни­ка по­тока (des­ti­nati­onIPv4Add­ress или des­ti­nati­onIPv6Add­ress — при ис­поль­зо­вании, со­от­ветс­твен­но, IPv4 или IPv6)*,
  • тип ис­поль­зу­емо­го про­токо­ла (pro­toco­lIden­ti­fi­er),
  • но­мера пор­тов ис­точни­ка и при­ем­ни­ка (udp­So­ur­ce­Port, udp­Des­ti­nati­on­Port)**.

* В RFC 5472 упо­мина­ют­ся толь­ко по­ля для IPv4, по­чему-то со­вер­шенно за­быв об IPv6, ко­торый на мо­мент опуб­ли­кова­ния это­го стан­дарта (март 2009) уже ис­поль­зо­вал­ся в ря­де стран, осо­бен­но в ази­атс­ких.

** Для бил­линго­вых це­лей ин­форма­ция о но­мерах пор­тов, как пра­вило, не ак­ту­аль­на, так как да­леко не всег­да од­нознач­но мож­но точ­но оп­ре­делить по но­меру пор­та при­ложе­ние (сер­вис), ко­торое его ис­поль­зу­ет. По­это­му, как пра­вило, бил­линго­выми сис­те­мами ис­поль­зу­ет­ся об­щий тра­фик без его де­ления на по­токи по приз­на­ку ис­поль­зо­вания конк­рет­но­го пор­та. И так­же стран­но, что ав­то­ры стан­дарта RFC 5472 пред­ла­га­ют ис­поль­зо­вать но­мера пор­тов толь­ко UDP про­токо­ла, не упо­миная, нап­ри­мер, TCP про­токол.

Во вто­ром слу­чае долж­ны ис­поль­зо­вать­ся сле­ду­ющие ин­форма­ци­он­ные эле­мен­ты:

точ­ка ко­да диф­фе­рен­ци­рован­ных ус­луг (Dif­fe­ren­ti­ated Ser­vi­ces Co­de Po­int) — (ip­Diff­Ser­vCo­dePo­int) и IP ад­ре­са ис­точни­ка и при­ем­ни­ка (so­ur­ce­IPv4Add­ress, des­ti­nati­onIPv4Add­ress).

Ба­зовы­ми эле­мен­та­ми, не­об­хо­димы­ми для уче­та пре­дос­тавлен­ных се­тевых ре­сур­сов в обо­их слу­ча­ях яв­ля­ют­ся ко­личест­во пе­редан­ных в по­токе па­кетов, ко­торые отоб­ра­жа­ют­ся в ин­форма­ци­он­ных эле­мен­тах pac­ketTo­tal­Co­unt, oc­tetTo­tal­Co­unt.

Опи­сание всех ис­поль­зу­емых ин­форма­ци­он­ных эле­мен­тов в IP­FIX про­токо­ле смот­ри­те да­лее в этой статье (таб­ли­цы 2 и 3).

Сле­ду­ет так­же за­метить, что ав­то­рами RFC 5472 счи­та­ет­ся, что IP­FIX про­токол не обес­пе­чива­ет дос­та­точ­ной на­деж­ности, ко­торая оп­ре­деле­на для бил­линго­вых сис­тем в RFC 2975 [2] и он име­ет ряд ог­ра­ниче­ний:

Воз­можность по­тери за­писей. IP­FIX про­токол мо­жет ис­поль­зо­вать в ка­чест­ве транс­пор­тно­го про­токо­ла: UDP, TCP, SCTP. Учи­тывая то, что в UDP про­токо­ле от­сутс­тву­ет подт­вер­жде­ние дос­тавки па­кетов, ре­комен­ду­ет­ся ис­поль­зо­вать про­токо­лы TCP или SCPT. В то­же вре­мя боль­шинс­тво из­вест­ных про­из­во­дите­лей ис­поль­зу­ют в сво­их уст­рой­ствах для пе­реда­чи IP­FIX дан­ных толь­ко UDP про­токол. Нап­ри­мер, в ком­му­тато­рах Et­hernet Ro­uting Switch 4500, 5000, 8300, 9600 (Ava­ya – Nor­tel) по сос­то­янию на 2011 год для экс­пор­та IP­FIX дан­ных ис­поль­зу­ет­ся UDP про­токол че­рез 9995 порт [3, 4].

Для справ­ки за­метим, что в со­от­ветс­твии с RFC 5101 пе­реда­ча IP­FIX дан­ных долж­на вы­пол­нять с по­мощью од­но­го из про­токо­лов: SCTP, TCP, UDP, ис­поль­зуя порт 4739 или 4740 — для за­щищен­но­го со­еди­нения. При этом, ес­ли для пе­реда­чи дан­ных ис­поль­зу­ет­ся UDP про­токол, то он дол­жен вы­пол­нять­ся вмес­те с DTLS про­токо­лом (Da­tag­ram Trans­port La­yer Pro­tocol). Ес­ли для пе­реда­чи дан­ных ис­поль­зу­ет­ся TCP про­токол, то он дол­жен вы­пол­нять­ся вмес­те с TLS про­токо­лом (Trans­port La­yer Se­curi­ty).

Се­тевые сбои. IP­FIX про­токол поз­во­ля­ет ис­поль­зо­вание нес­коль­ких Кол­лекто­ров для од­но­го Экс­пор­те­ра, но не оп­ре­деля­ет ни­каких тре­бова­ний по ис­поль­зо­ванию мно­жест­ва кол­лекто­ров для их ус­той­чи­вой ра­боты в слу­чае се­тевых сбо­ев.

Об­на­руже­ние и иск­лю­чение дуб­ли­ру­ющих за­писей. По­доб­ная функ­ция не под­держи­ва­ет­ся IP­FIX про­токо­лом.

Подт­вер­жде­ние о при­еме на уров­не при­ложе­ний. IP­FIX про­токол не под­держи­ва­ет конт­ро­ля за про­цес­са­ми из­ме­рения и экс­пор­та при­ложе­ни­ями выс­ше­го уров­ня. Подт­вер­жде­ние о при­еме на уров­не при­ложе­ния яв­ля­ет­ся не­об­хо­димым для ин­форми­рова­ния Экс­пор­те­ра в слу­чае, ког­да при­ложе­ние не мо­жет об­ра­ботать дан­ные, экс­пор­ти­ру­емые с ис­поль­зо­вани­ем IP­FIX про­токо­ла. Та­кая функ­ци­ональ­ность не под­держи­ва­ет­ся.

 

Ана­лиз тра­фика

Ин­форма­ция, соб­ранная с ис­поль­зо­вани­ем IP­FIX про­токо­ла за боль­шой пе­ри­од вре­мени мо­жет ис­поль­зо­вать­ся для отс­ле­жива­ния и прог­но­зиро­вания рос­та се­ти и ее про­из­во­дитель­нос­ти. Это яв­ля­ет­ся не­об­хо­димой для ана­лиза тен­денций в се­ти и се­тево­го пла­ниро­вания. Па­рамет­ры, ко­торые предс­тав­ля­ют ин­те­рес, оп­ре­деля­ют­ся конк­рет­ным объек­том ана­лиза. В ка­чест­ве та­ких па­рамет­ров мож­но ука­зать: про­дол­жи­тель­ность по­тока, объем пе­редан­ной в по­токе ин­форма­ции, ис­поль­зу­емые про­токо­лы и сер­ви­сы (пор­ты), ко­личест­во па­кетов оп­ре­делен­но­го ти­па и дру­гие.

От­дель­ный ана­лиз ис­поль­зу­емых про­токо­лов и сер­ви­сов мо­жет быть вы­пол­нен пу­тем ус­та­нов­ки со­от­ветс­тву­ющих По­токо­вых Клю­чей. Про­токо­лы мо­гут быть раз­де­лены с по­мощью ин­форма­ци­он­но­го эле­мен­та (ИЭ): pro­toco­lIden­ti­fi­er.

Ин­форма­цию об ис­поль­зу­емых сер­ви­сах мож­но по­лучить из но­меров пор­тов (des­ti­nati­onT­ran­sport­Port, so­ur­ceTrans­por­tPort, udp­So­ur­ce­Port, udp­Des­ti­nati­on­Port, tcpSo­ur­ce­Port, tcpDes­ti­nati­on­Port). Ес­ли но­мера пор­та не­дос­та­точ­но для оп­ре­деле­ния ис­поль­зу­емо­го сер­ви­са, то для его оп­ре­деле­ния мо­жет пот­ре­бовать­ся ос­таль­ная часть па­кета.

Па­кет­ная заг­рузка мо­жет быть оп­ре­деле­на с ис­поль­зо­вани­ем ИЭ ip­Pa­yload­Packet­Secti­on.

Про­дол­жи­тель­ность по­тока мож­но вы­чис­лить сле­ду­ющим об­ра­зом:

flo­wEnd­Mic­ro­seconds -   flowS­tar­tMic­ro­seconds.

Вмес­то мик­ро­секунд мо­гут ис­поль­зо­вать­ся ана­логич­ные ИЭ с дру­гими еди­ница­ми из­ме­рения.

Чис­ло па­кетов и чис­ло байт (ок­те­тов) в по­токе мож­но оп­ре­делить на ос­но­вании ИЭ: pac­ketTo­tal­Co­unt, oc­tetTo­tal­Co­unt.

 

Ад­ми­нист­ри­рова­ние тра­фика

Целью ад­ми­нист­ри­рова­ния тра­фика яв­ля­ет­ся оп­ти­миза­ция се­тевых ре­сур­сов и па­рамет­ров тра­фика. Ти­повы­ми па­рамет­ра­ми яв­ля­ют­ся:

–  про­пуск­ная спо­соб­ность ка­нала,

–  заг­рузка меж­ду оп­ре­делен­ны­ми се­тями, уз­ла­ми;

–  чис­ло, раз­ме­ры и точ­ки вхо­да/вы­хода ак­тивных по­токов;

–  марш­ру­тизи­ру­ющая ин­форма­ция.

Объемы по­токов в па­кетах и бай­тах мож­но по­лучить из ИЭ: pac­ketTo­tal­Co­unt и oc­tetTo­tal­Co­unt. Заг­рузка фи­зичес­ко­го ка­нала мо­жет быть по­луче­на бла­года­ря ис­поль­зо­ванию ИЭ (eg­ressIn­terfa­ce или ing­res­sInter­fa­ce) и по­токо­вых счет­чи­ков   pac­ketTo­tal­Co­unt и oc­tetTo­tal­Co­unt.

Заг­рузка меж­ду оп­ре­делен­ны­ми се­тевы­ми уз­ла­ми мо­жет быть по­луче­на по­доб­ным пу­тем, ес­ли ин­терфейс се­тево­го уз­ла по­луча­ет тра­фик толь­ко от од­но­го со­сед­не­го уз­ла. Ес­ли па­рамет­ры вхо­дяще­го ин­терфей­са яв­ля­ют­ся не­дос­та­точ­ны­ми для од­нознач­ной иден­ти­фика­ции со­сед­не­го уз­ла, сле­ду­ет ис­поль­зо­вать по­ля за­голов­ка IP па­кета (нап­ри­мер, so­ur­ce­MacAdd­ress), ко­торые мож­но до­бавить в ка­чест­ве по­токо­вых клю­чей.

Ин­форма­ци­он­ный эле­мент ob­servedF­low­To­tal­Co­unt обес­пе­чива­ет ин­форма­ци­ей о ко­личест­ве по­токов для наб­лю­да­емо­го до­мена с мо­мен­та пос­ледней ини­ци­али­зации из­ме­ритель­но­го про­цес­са. Ес­ли ана­лизи­ровать зна­чение это­го ИЭ че­рез оп­ре­делен­ные про­межут­ки вре­мени, то фак­ти­чес­ки мож­но оп­ре­делить ко­личест­во ак­тивных по­токов в те­чение этих вре­мен­ных про­межут­ков.

 

Об­на­руже­ние се­тевых атак и втор­же­ний

Од­ним из при­мене­ний IP­FIX про­токо­ла яв­ля­ет­ся об­на­руже­ние на ос­но­ве его дан­ных се­тевых атак и втор­же­ний. Од­на­ко, это дос­та­точ­но слож­ный про­цесс, так как ха­керы быст­ро подс­тра­ивают­ся под су­щест­ву­ющие сис­те­мы об­на­руже­ния, пы­та­ясь сде­лать свои ата­ки не­замет­ны­ми и бо­лее изощ­ренны­ми. В то­же вре­мя не­обыч­ное из­ме­нение тра­фика не всег­да яв­ля­ет­ся ре­зуль­та­том зло­наме­рен­ных дей­ствий. Тра­фик мо­жет рез­ко из­ме­нить­ся и в ре­зуль­та­те дей­ствия ле­гитим­ных поль­зо­вате­лей или оши­бок в кон­фи­гура­ции се­тевых уст­рой­ств. Те­оре­тичес­ки вся ин­форма­ция о тра­фике на IP уров­не яв­ля­ет­ся дос­тупной. Эти дан­ные поз­во­ля­ют ли­бо нап­ря­мую об­на­ружи­вать ано­маль­ные яв­ле­ния в се­ти или мо­гут слу­жить ос­но­вой для соз­да­ния бо­лее комп­лек­сных па­рамет­ров, по ко­торым мож­но об­на­ружит се­тевые ата­ки.

В за­виси­мос­ти от ти­па ата­ки мо­гут ис­поль­зо­вать­ся раз­личный на­бор мет­рик. Вне­зап­ное рез­кое воз­раста­ние тра­фика мо­жет слу­жить од­ном из приз­на­ков на­чала ата­ки. Весь объем тра­фика мо­жет отс­ле­живать­ся с по­мощью ИЭ pac­ketTo­tal­Co­unt или oc­tetTo­tal­Co­unt. Чис­ло ак­тивных по­токов мож­но оп­ре­делить с по­мощью па­рамет­ра ob­servedF­low­To­tal­Co­unt.

Вне­зап­ное уве­личе­ние по­токов от раз­личных ис­точни­ков на один из при­ем­ни­ков па­кетов мо­жет быть выз­ва­но ата­кой на оп­ре­делен­ный хост или се­тевой узел пу­тем ис­поль­зо­вания фаль­ши­вых ад­ре­сов. Чис­ло по­токов от или на оп­ре­делен­ную сеть (хос­ты) мо­жет быть вы­яв­ле­но за счет ана­лиза ад­ре­сов ис­точни­ков и при­ем­ни­ков, при­нятых в ка­чест­ве по­токо­вых клю­чей, и чис­ла ак­тивных по­токов, как упо­мина­лось вы­ше. Мно­жест­во по­токов на один и тот же IP ад­рес, но раз­личные пор­ты, или мно­жест­во по­токов на один и тот же порт ря­да се­тевых уст­рой­ств мо­жет быть ин­ди­като­ром вер­ти­каль­но­го или го­ризон­таль­но­го ска­ниро­вания пор­тов. Чис­ло по­токов на раз­личные пор­ты мо­жет оп­ре­делять­ся с по­мощью сле­ду­ющих ИЭ: udp­So­ur­ce­Port, udp­Des­ti­nati­on­Port, tcpSo­ur­ce­Port, tcpDes­ti­nati­on­Port.

Не­обыч­ное со­от­но­шение TCP-SYN к TCP-FIN па­кетов мо­жет го­ворить о SYN флу­дин­ге (flo­oding). О чис­ле SYN и FIN па­кетов мож­но су­дить по ИЭ: tcpSyn­To­tal­Co­unt и tcpFin­To­tal­Co­unt.

Се­тевые "чер­ви" мо­гут быть об­на­руже­ны толь­ко пу­тем де­таль­но­го изу­чения со­дер­жи­мого па­кетов. И о них не­воз­можно су­дить по па­рамет­рам тра­фика, а мож­но оп­ре­делить с ис­поль­зо­вани­ем ИЭ ip­Pa­yload­Packet­Secti­on [5].

Сле­ду­ет учи­тывать, что ко­личест­во ре­сур­сов, не­об­хо­димых для из­ме­рения, уве­личи­ва­ет­ся с уров­нем, тре­бу­емым для об­на­руже­ния атак. В дан­ном слу­чае мо­гут быть по­лез­ны тех­но­логии мно­гос­ту­пен­ча­того ана­лиза, то есть при­мене­ние бо­лее глу­боко­го ана­лиза, ес­ли се­тевое по­веде­ние от­ли­ча­ет­ся от шаб­лонно­го. Для наб­лю­дения за тра­фиком с целью об­на­руже­ния се­тевых атак ре­комен­ду­ет­ся ис­поль­зо­вать ме­тоды филь­тра­ции, ко­торые опи­сыва­ют­ся в RFC 5475.

От­не­сение при­над­лежнос­ти IP ад­ре­сов, участ­ву­ющих в по­токах, мо­жет быть по­лез­ным для оп­ре­деле­ния кор­рект­нос­ти се­тево­го по­веде­ния. Кор­ре­ляция дан­ных из нес­коль­ких то­чек наб­лю­дения поз­во­ля­ет оце­нить расп­рос­тра­нение ата­ки и по­мочь в ло­кали­зации ее ис­точни­ка.

В то­же вре­мя сбор ин­форма­ции о по­токах со все­воз­можных то­чек наб­лю­дения час­то яв­ля­ет­ся не­ре­аль­ным из-за ог­ра­ниче­ний на ре­сур­сы. Сле­дова­тель­но, не­об­хо­димо вы­бирать мет­ри­ки, ко­торые бы поз­во­ляли точ­но оп­ре­делять тре­бу­емые се­тевые со­бытия при ис­поль­зо­вании ми­нималь­ных ре­сур­сов.

Во мно­гих слу­ча­ях ис­поль­зо­вание толь­ко не­об­ра­ботан­ных дан­ных из IP­FIX про­токо­ла не­дос­та­точ­но для вы­яв­ле­ния се­тевых со­бытий. Нап­ри­мер, срав­не­ние чис­ла SYN и FIN па­кетов за оп­ре­делен­ный ин­тервал вре­мени мож­но ин­терп­ре­тиро­вать как неп­ре­рыв­ную SYN ата­ку, но ко­торая не оче­вид­на из не­об­ра­ботан­ных па­кетов или по­токо­вых дан­ных. До­пол­ни­тель­ные мет­ри­ки, по­доб­ные ком­му­лятив­ным сум­мам раз­личных счет­чи­ков, расп­ре­деле­ния па­кет­ных ат­ри­бутов или спектр ко­эф­фи­ци­ен­тов, долж­ны ис­поль­зо­вать­ся для иден­ти­фика­ции раз­личных ти­пов атак.

Для то­го что­бы об­на­ружить ата­ку на эта­пе ее за­рож­де­ния по­лез­но об­ра­баты­вать дан­ные сра­зу же пос­ле их по­луче­ния для фор­ми­рова­ния важ­ных мет­рик, слу­жащих для об­на­руже­ния ата­ки. Пред­ва­ритель­ная об­ра­бот­ка "сы­рых" па­кетов и дан­ных по­тока уже в са­мом уст­рой­стве мо­жет ус­ко­рить про­цесс об­на­руже­ния и умень­шить ко­личест­во дан­ных для экс­пор­та. Кро­ме то­го, воз­можна не­пос­редс­твен­ная пе­реда­ча изв­ле­ка­емых мет­рик пу­тем оп­ре­деле­ния со­от­ветс­тву­ющих ИЭ. Же­лате­лен не­мед­ленный экс­порт дан­ных в слу­чае по­тен­ци­аль­ной уг­ро­зы.

Эф­фектив­ное об­на­руже­ние втор­же­ний воз­можно при од­новре­мен­ном ис­поль­зо­вании функ­ци­ональ­нос­тей IP­FIX и ААА (Авто­риза­ция,Аутен­ти­фика­ция, Acco­un­ting – учет ис­поль­зу­емых ре­сур­сов). Обыч­но функ­ции ААА вы­пол­ня­ют RA­DI­US сер­ве­ра. Ин­форма­цию по про­токо­лу RA­DI­US мож­но пос­мотреть, нап­ри­мер, в [6].

 

Мо­нито­ринг ка­чест­ва сер­ви­са (QoS)

Мо­нито­ринг ка­чест­ва сер­ви­са (qua­lity of ser­vi­ce) яв­ля­ет­ся од­ним из при­ложе­ний IP­FIX про­токо­ла. Ти­повы­ми па­рамет­ра­ми ка­чест­ва сер­ви­са яв­ля­ют­ся по­тери, од­носто­рон­няя и двус­то­рон­няя за­держ­ки (one-way и ro­und-trip de­lay), ва­ри­ация за­держ­ки (de­lay va­ri­ation). Оп­ре­деле­ние этих па­рамет­ров тре­бу­ет об­ра­бот­ки на уров­не па­кетов. Не­кото­рые па­рамет­ры ка­чест­ва сер­ви­са тре­бу­ют кор­ре­ляции дан­ных от нес­коль­ких то­чек наб­лю­дения. Для это­го не­об­хо­дима синх­ро­низа­ция по вре­мени из­ме­ритель­ных про­цес­сов в этих точ­ках. Кро­ме это­го не­об­хо­димо рас­позна­вать, что один и тот же па­кет наб­лю­дал­ся в раз­личных точ­ках наб­лю­дения. Это мо­жет быть сде­лано пу­тем сбо­ра час­тей со­дер­жи­мого па­кета (за­голо­вок па­кета или час­ти те­ла па­кета), ко­торые не из­ме­нялись на пу­ти к при­ем­ни­ку. Ос­но­выва­ясь на со­дер­жи­мом па­кета, воз­можно оп­ре­делить, ког­да один и тот же па­кет пос­ту­пил в дру­гую точ­ку наб­лю­дения. Для умень­ше­ния ко­личест­ва из­ме­ря­емых дан­ных воз­можно вы­чис­ле­ние уни­каль­но­го па­кет­но­го иден­ти­фика­тора на ос­но­ве со­дер­жи­мого па­кета.

 

Ин­форма­ци­он­ные эле­мен­ты IP­FIX

Для IP­FIX про­токо­ла ин­форма­ци­он­ные эле­мен­ты с 1 по 127 в боль­шинс­тве иден­тичны тем, ко­торые ис­поль­зу­ют­ся в про­токо­ле NetF­low вер­сии 9 [7].

До­пол­ни­тель­ный объем ин­форма­ци­он­ных эле­мен­тов за­резер­ви­рован с 128 до 32767. Часть из них за­дей­ство­ваны.

Пе­речень ин­форма­ци­он­ных эле­мен­тов IP­FIX про­токо­ла с 1 по 127 в со­от­ветс­твии RFC 5102 и со­от­ветс­тву­ющих по­лей про­токо­ла NetF­low вер­сии 9 при­веде­ны в таб­ли­це 2.

Таб­ли­ца 2

ID

Ин­форма­ци­он­ный эле­мент в NetF­lowv.9

Ин­форма­ци­он­ный эле­мент в IP­FIX

Опи­сание

1

IN_BY­TES

oc­tetDel­ta­Co­unt

Вхо­дящий счет­чик с дли­ной N х 8 бит для ко­личест­ва байт, свя­зан­ных с IP по­током.

2

IN_PKTS

pac­ketDel­ta­Co­unt

Вхо­дящий счет­чик с дли­ной N х 8 бит для ко­личест­ва па­кетов, свя­зан­ных с IP по­током.

3

FLOWS

RE­SER­VED

Ко­личест­во по­токов, ко­торое аг­ре­гиру­ет­ся. По умол­ча­нию 4.

4

PRO­TOCOL

pro­toco­lIden­ti­fi­er

IP про­токол

5

TOS

ipC­las­sOfSer­vi­ce

Тип Сер­ви­са для вхо­дяще­го ин­терфей­са

6

TCP_FLAGS

tcpCont­rol­Bits

Со­вокуп­ность всех TCP фла­гов для это­го по­тока

7

L4_SRC_PORT

so­ur­ceTrans­por­tPort

Но­мер пор­та TCP/UDP ис­точни­ка: FTP, Tel­net и т.п.

8

IPV4_SRC_ADDR

so­ur­ce­IPv4Add­ress

Ад­рес ис­точни­ка дан­ных IP про­токо­ла вер­сии 4

9

SRC_MASK

so­ur­ce­IPv4Pre­fix­Length

Мас­ка ис­точни­ка дан­ных

10

IN­PUT_SNMP

ing­res­sInter­fa­ce

Ин­декс вхо­дяще­го ин­терфей­са; по умол­ча­нию 2, но мо­гут ис­поль­зо­вать­ся       и бо­лее вы­сокие зна­чения.

11

L4_DST_PORT

des­ti­nati­onT­ran­sport­Port

Но­мер пор­та TCP/UDP при­ем­ни­ка: FTP, Tel­net и т.п.

12

IPV4_DST_ADDR

des­ti­nati­onIPv4Add­ress

Ад­рес при­ем­ни­ка дан­ных про­токо­ла IP вер­сии 4

13

DST_MASK

des­ti­nati­onIPv4Pre­fix­Length

Мас­ка при­ем­ни­ка дан­ных

14

OUT­PUT_SNMP

eg­ressIn­terfa­ce

Ин­декс ис­хо­дяще­го ин­терфей­са; по умол­ча­нию 2, но мо­гут ис­поль­зо­вать­ся бо­лее вы­сокие зна­чения.

15

IPV4_NEXT_HOP

ip­Next­Ho­pIPv4Add­ress

IPv4 ад­рес сле­ду­юще­го марш­ру­тиза­тора (next-hop ro­uter)

16

SRC_AS

bgpSo­ur­ce­As­Number

Но­мер ав­то­ном­ной сис­те­мы BGP ис­точни­ка. Зна­чение по умол­ча­нию: 2. Так­же мо­жет быть и 4

17

DST_AS

bgpDes­ti­nati­onAs­Number

Но­мер ав­то­ном­ной сис­те­мы BGP при­ем­ни­ка. Зна­чение по умол­ча­нию: 2. Так­же мо­жет быть и 4

18

BGP_IPV4_NEXT_HOP

bgpNext­ho­pIPv4Add­ress

IP ад­рес сле­ду­юще­го марш­ру­тиза­тора в BGP до­мене

19

MUL_DST_PKTS

post­MCast­Pac­ketDel­ta­Co­unt

Счет­чик груп­по­вых ис­хо­дящих IP па­кетов с дли­ной N x 8 бит для па­кетов, свя­зан­ных с IP по­током

20

MUL_DST_BY­TES

post­MCas­tOctet­Delta­Co­unt

Счет­чик груп­по­вых ис­хо­дящих IP байт с дли­ной N x 8 бит для бай­тов, свя­зан­ных с IP по­током

21

LAST_SWITC­HED

flo­wEnd­Sy­sUp­Ti­me

Сис­темное вре­мя ра­боты, при ко­тором пос­ледний па­кет в этом по­токе был ском­му­тиро­ван.

22

FIRST_SWITC­HED

flowS­tar­tSy­sUp­Ti­me

Сис­темное вре­мя ра­боты, при ко­тором пер­вый па­кет в этом по­токе был ском­му­тиро­ван.

23

OUT_BY­TES

pos­tOctet­Delta­Co­unt

Ис­хо­дящий счет­чик с дли­ной N x 8 бит для ко­личест­ва байт, свя­зан­ных с IP по­током

24

OUT_PKTS

post­Pac­ketDel­ta­Co­unt

Ис­хо­дящий счет­чик с дли­ной N x 8 бит для чис­ла па­кетов, свя­зан­ных с IP по­током.

25

MIN_PKT_LNGTH

mi­nimu­mIp­To­tal­Length

Ми­нималь­ная дли­на IP па­кета для вхо­дящих па­кетов по­тока

26

MAX_PKT_LNGTH

ma­ximu­mIp­To­tal­Length

Мак­си­маль­ная дли­на IP па­кета для вхо­дящих па­кетов по­тока

27

IPV6_SRC_ADDR

so­ur­ce­IPv6Add­ress

IPv6 ад­рес ис­точни­ка дан­ных

28

IPV6_DST_ADDR

des­ti­nati­onIPv6Add­ress

IPv6 ад­рес при­ем­ни­ка дан­ных

29

IPV6_SRC_MASK

so­ur­ce­IPv6Pre­fix­Length

Дли­на мас­ки IPv6 ис­точни­ка дан­ных

30

IPV6_DST_MASK

des­ti­nati­onIPv6Pre­fix­Length

Дли­на мас­ки IPv6 при­ем­ни­ка дан­ных

31

IPV6_FLOW_LA­BEL

flow­La­belIPv6

Яр­лык по­тока IPv6, как оп­ре­деле­но в RFC 2460

32

ICMP_TY­PE

icm­pTy­peCo­de­IPv4

Тип па­кета меж­се­тево­го про­токо­ла уп­равля­ющих со­об­ще­ний (In­ternet Cont­rol Mes­sa­ge Pro­tocol - ICMP); вы­водят­ся как: ((ICMP Ty­pe*256) + ICMP co­de)

33

MUL_IGMP_TY­PE

igm­pTy­pe

Тип па­кета про­токо­ла уп­равле­ния груп­па­ми Ин­тернет (In­ternet Gro­up Ma­nage­ment Pro­tocol - IGMP)

34

SAMP­LING_IN­TERVAL

RE­SER­VED

Ис­поль­зу­ет­ся для вы­бороч­но­го по­тока NetF­low. Час­то­та, с ко­торой вы­бира­ют­ся па­кеты. Т.е. 100 бу­дет оз­на­чать, что вы­бира­ет­ся каж­дый 100-й па­кет.

35

SAMP­LING_AL­GO­RITHM

RE­SER­VED

Тип ал­го­рит­ма, ис­поль­зу­емо­го для вы­бор­ки NetF­low: 0х01 — де­тер­ми­ниро­ван­ная вы­бор­ка; 0х02 — слу­чай­ная вы­бор­ка.

36

FLOW_AC­TI­VE_TI­ME­OUT

flo­wAc­ti­veTi­me­out

Ве­личи­на тай­ма­ута (в се­кун­дах) для за­писей не­ак­тивно­го по­тока в кэш NetF­low.

37

FLOW_INAC­TI­VE_TI­ME­OUT

flo­wId­le­Time­out

Ве­личи­на тай­ма­ута (в се­кун­дах) для за­писей не­ак­тивно­го по­тока в NetF­low кэ­ше.

38

EN­GI­NE_TY­PE

RE­SER­VED

Тип по­тока ком­му­таци­он­ной ма­шины: RP=0, VIP/Li­necard=1

39

EN­GI­NE_ID

RE­SER­VED

Иден­ти­фика­тор ком­му­таци­он­ной ма­шины

40

TO­TAL_BY­TES_EXP

ex­porte­dOc­tetTo­tal­Co­unt

Счет­чик с дли­ной N x 8 бит для байт для ко­личест­ва байт экс­пор­ти­ру­емых До­меном Наб­лю­дения

41

TO­TAL_PKTS_EXP

ex­ported­Messa­geTo­tal­Co­unt

Счет­чик с дли­ной N x 8 бит для байт для ко­личест­ва па­кетов экс­пор­ти­ру­емых До­меном Наб­лю­дения

42

TO­TAL_FLOWS_EXP

ex­portedF­low­Re­cord­To­tal­Co­unt

Счет­чик с дли­ной N x 8 бит для байт для ко­личест­ва по­токов экс­пор­ти­ру­емых До­меном Наб­лю­дения

43

RE­SER­VED

 

 

44

IPV4_SRC_PRE­FIX

so­ur­ce­IPv4Pre­fix

Пре­фикс ад­ре­са IPv4 ис­точни­ка (спе­ци­аль­но для ар­хи­тек­ту­ры Ca­talyst)

45

IPV4_DST_PRE­FIX

RE­SER­VED

Пре­фикс ад­ре­са IPv4 при­ем­ни­ка (спе­ци­аль­но для ар­хи­тек­ту­ры Ca­talyst)

46

MPLS_TOP_LA­BEL_TY­PE

mplsTop­La­bel­Ty­pe

MPLS Top La­bel Ty­pe: 0x00 UNK­NOWN; 0x01 TE-MIDPT; 0x02 ATOM; 0x03 VPN; 0x04 BGP; 0x05 LDP

47

MPLS_TOP_LA­BEL_IP_ADDR

mplsTop­La­belIPv4Add­ress

Пе­ре­ад­ре­су­емый Эк­ви­валент­ный Класс (For­warding Equi­valent Class) со­от­ветс­тву­ющий верх­ней мет­ки MPLS

48

FLOW_SAMP­LER_ID

RE­SER­VED

Иден­ти­фика­тор, по­казан­ный в “show flow-samp­ler”

49

FLOW_SAMP­LER_MO­DE

RE­SER­VED

Тип ал­го­рит­ма, ис­поль­зу­емо­го для вы­бороч­ных дан­ных: 0х02 слу­чай­ный вы­бор. Ис­поль­зу­ет­ся     сов­мест­но с FLOW_SAMP­LER_MO­DE

50

FLOW_SAMP­LER_RAN­DOM_IN­TERVAL

RE­SER­VED

Па­кет­ный ин­тервал, с ко­торым осу­щест­вля­ет­ся вы­бор­ка. Ис­поль­зу­ет­ся сов­мест­но с FLOW_SAMP­LER_MO­DE

51

RE­SER­VED

RE­SER­VED

 

52

MIN_TTL

mi­nimumTTL

Ми­нималь­ное вре­мя жиз­ни па­кетов (TTL) для вхо­дяще­го по­тока.

53

MAX_TTL

ma­ximumTTL

Мак­си­маль­ное вре­мя жиз­ни па­кетов (TTL) для ис­хо­дяще­го по­тока.

54

IPV4_IDENT

frag­mentI­den­ti­fica­ti­on

Иден­ти­фика­ци­он­ное по­ле IPv4.

55

DST_TOS

pos­tIpC­las­sOfSer­vi­ce

Байт ти­па сер­ви­са, ус­та­нав­ли­ва­емый для ис­хо­дяще­го ин­терфей­са.

56

SRC_MAC

so­ur­ce­MacAdd­ress

МАС ад­рес ис­хо­дяще­го ис­точни­ка

57

DST_MAC

post­Des­ti­nati­on­Ma­cAdd­ress

МАС ад­рес вхо­дяще­го при­ем­ни­ка

58

SRC_VLAN

vla­nId

Иден­ти­фика­тор вир­ту­аль­ной ЛВС, свя­зан­ный с вхо­дящим ин­терфей­сом

59

DST_VLAN

post­Vla­nId

Иден­ти­фика­тор вир­ту­аль­ной ЛВС, свя­зан­ный с ис­хо­дящим ин­терфей­сом

60

IP_PRO­TOCOL_VER­SI­ON

ip­Versi­on

Вер­сия Ин­тернет Про­токо­ла. Зна­чение 4 — для IPv4, и 6 — для IPv6. Ес­ли от­сутс­тву­ет в шаб­ло­не, зна­чит, ис­поль­зу­ет­ся вер­сия 4.

61

DI­REC­TI­ON

flow­Di­rec­ti­on

Нап­равле­ние по­тока: 0 — вхо­дящий по­ток, 1 — ис­хо­дящий по­ток.

62

IPV6_NEXT_HOP

ip­Next­Ho­pIPv6Add­ress

IPv6 ад­рес для марш­ру­тиза­тора сле­ду­юще­го пе­рехо­да (скач­ка).

63

BPG_IPV6_NEXT_HOP

bgpNext­ho­pIPv6Add­ress

Ipv6 ад­рес марш­ру­тиза­тора сле­ду­юще­го пе­рехо­да в BGP до­мене.

64

IPV6_OP­TI­ON_HE­ADERS

ipv6Ex­tensi­on­He­aders

Би­тово-ко­диру­емое по­ле, иден­ти­фици­ру­ющее до­пол­ни­тель­ные за­голов­ки IPv6, об­на­ружен­ные в по­токе.

65

RE­SER­VED

RE­SER­VED

 

66

RE­SER­VED

RE­SER­VED

 

67

RE­SER­VED

RE­SER­VED

 

68

RE­SER­VED

RE­SER­VED

 

69

RE­SER­VED

RE­SER­VED

 

70

MPLS_LA­BEL_1

mplsTop­La­belS­tac­kSec­ti­on

MPLS мет­ка (яр­лык) на 1-й по­зиции в сте­ке. По­ле со­дер­жит в се­бе: 20 бит - MPLS мет­ки, 3 EXP (экс­пе­римен­таль­ных) би­та и 1 S бит (ко­нец сте­ка).

71

MPLS_LA­BEL_2

mplsLa­belS­tac­kSec­ti­on2

MPLS мет­ка (яр­лык) на 2-й по­зиции в сте­ке. По­ле со­дер­жит в се­бе: 20 бит - MPLS мет­ки, 3 EXP (экс­пе­римен­таль­ных) би­та и 1 S бит (ко­нец сте­ка).

72

MPLS_LA­BEL_3

mplsLa­belS­tac­kSec­ti­on3

MPLS мет­ка (яр­лык) на 3-й по­зиции в сте­ке. По­ле со­дер­жит в се­бе: 20 бит - MPLS мет­ки, 3 EXP (экс­пе­римен­таль­ных) би­та и 1 S бит (ко­нец сте­ка).

73

MPLS_LA­BEL_4

mplsLa­belS­tac­kSec­ti­on4

MPLS мет­ка (яр­лык) на 4-й по­зиции в сте­ке. По­ле со­дер­жит в се­бе: 20 бит - MPLS мет­ки, 3 EXP (экс­пе­римен­таль­ных) би­та и 1 S бит (ко­нец сте­ка).

74

MPLS_LA­BEL_5

mplsLa­belS­tac­kSec­ti­on5

MPLS мет­ка (яр­лык) на 5-й по­зиции в сте­ке. По­ле со­дер­жит в се­бе: 20 бит - MPLS мет­ки, 3 EXP (экс­пе­римен­таль­ных) би­та и 1 S бит (ко­нец сте­ка).

75

MPLS_LA­BEL_6

mplsLa­belS­tac­kSec­ti­on6

MPLS мет­ка (яр­лык) на 6-й по­зиции в сте­ке. По­ле со­дер­жит в се­бе: 20 бит - MPLS мет­ки, 3 EXP (экс­пе­римен­таль­ных) би­та и 1 S бит (ко­нец сте­ка).

76

MPLS_LA­BEL_7

mplsLa­belS­tac­kSec­ti­on7

MPLS мет­ка (яр­лык) на 7-й по­зиции в сте­ке. По­ле со­дер­жит в се­бе: 20 бит - MPLS мет­ки, 3 EXP (экс­пе­римен­таль­ных) би­та и 1 S бит (ко­нец сте­ка).

77

MPLS_LA­BEL_8

mplsLa­belS­tac­kSec­ti­on8

MPLS мет­ка (яр­лык) на 8-й по­зиции в сте­ке. По­ле со­дер­жит в се­бе: 20 бит - MPLS мет­ки, 3 EXP (экс­пе­римен­таль­ных) би­та и 1 S бит (ко­нец сте­ка).

78

MPLS_LA­BEL_9

mplsLa­belS­tac­kSec­ti­on9

MPLS мет­ка (яр­лык) на 9-й по­зиции в сте­ке. По­ле со­дер­жит в се­бе: 20 бит - MPLS мет­ки, 3 EXP (экс­пе­римен­таль­ных) би­та и 1 S бит (ко­нец сте­ка).

79

MPLS_LA­BEL_10

mplsLa­belS­tac­kSec­ti­on10

MPLS мет­ка (яр­лык) на 10-й по­зиции в сте­ке. По­ле со­дер­жит в се­бе: 20 бит - MPLS мет­ки, 3 EXP (экс­пе­римен­таль­ных) би­та и 1 S бит (ко­нец сте­ка).

80

OUT_DST_MAC

des­ti­nati­on­Ma­cAdd­ress

МАС ад­рес ис­хо­дяще­го при­ем­ни­ка

81

IN_SRC_MAC

post­So­ur­ce­MacAdd­ress

МАС ад­рес вхо­дяще­го ис­точни­ка

82

IF_NA­ME

RE­SER­VED

Сок­ра­щен­ное имя ин­терфей­са, нап­ри­мер: “FE1/0”

83

IF_DESC

RE­SER­VED

Пол­ное имя ин­терфей­са, нап­ри­мер: “'Fas­tEther­net 1/0”

84

SAMP­LER_NA­ME

RE­SER­VED

Имя вы­бор­ки по­тока

85

IN_PER­MA­NENT _BY­TES

oc­tetTo­tal­Co­unt

Счет­чик те­куще­го бай­та для пос­то­ян­но­го по­тока

86

IN_ PER­MA­NENT _PKTS

pac­ketTo­tal­Co­unt

Счет­чик те­куще­го па­кета для пос­то­ян­но­го по­тока

87

RE­SER­VED

RE­SER­VED

 

88

FRAG­MENT_OFF­SET

frag­mentOff­set

Ве­личи­на фраг­мент­но­го сме­щения для фраг­менти­ру­емых IP па­кетов

89

FOR­WARDING STA­TUS

RE­SER­VED

Сос­то­яние пе­ре­ад­ре­сации, ко­торое ко­диру­ет­ся 2-я ле­выми би­тами в бай­те, а ос­таль­ные 6 бит — ука­зыва­ют код при­чины пе­ре­ад­ре­сации.

90

RE­SER­VED

mplsVpnRo­ute­Dis­tingu­is­her

Ве­личи­на от­ли­читель­но­го приз­на­ка VPN марш­ру­та со­от­ветс­тву­ющей за­писи в таб­ли­це марш­ру­тиза­ции и пе­ре­ад­ре­сации VPN. От­ли­читель­ный приз­нак марш­ру­та га­ран­ти­ру­ет, что по­доб­ный ад­рес мо­жет ис­поль­зо­вать­ся в нес­коль­ких раз­личных MPLS VPN и что он мо­жет ис­поль­зо­вать­ся в BGP для пе­реда­чи нес­коль­ких со­вер­шенно от­личных марш­ру­тов для это­го ад­ре­са.

91-127

 

RE­SER­VED

 

Прак­ти­чес­ки пол­ное сов­па­дение зна­чений ин­форма­ци­он­ных эле­мен­тов про­токо­ла IP­FIX со зна­чени­ями ИЭ про­токо­ла NetF­low вер­сии 9 поз­во­ля­ет поль­зо­вате­лям обо­рудо­вания IP­FIX ис­поль­зо­вать NetF­low кол­лекто­ры, ко­торые под­держи­ва­ют вер­сию 9.

Пе­речень ин­форма­ци­он­ных эле­мен­тов IP­FIX про­токо­ла, на­чиная со 128 по 238 при­веде­ны в таб­ли­це 3.

Таб­ли­ца 3

ID

Ин­форма­ци­он­ный эле­мент

Опи­сание

128

BgpNex­tAdja­cen­tAsNum­ber

Но­мер пер­вой ав­то­ном­ной сис­те­мы (АС) на пу­ти к IP ад­ре­су наз­на­чения. Путь оп­ре­деля­ет­ся пу­тем по­ис­ка IP ад­ре­са наз­на­чения по­тока в ин­форма­ци­он­ной ба­зе марш­ру­тиза­ции BGP. Ес­ли ин­форма­ция о пу­ти к ав­то­ном­ной сис­те­ме яв­ля­ет­ся дос­тупной толь­ко для не­упо­рядо­чен­но­го на­бора АС, то ве­личи­на дан­но­го ин­форма­ци­он­но­го эле­мен­та рав­на 0.

229

BgpPre­vAd­ja­cen­tAsNum­ber

 

Но­мер пос­ледней ав­то­ном­ной сис­те­мы (АС) на пу­ти от IP ад­ре­са ис­точни­ка. Путь оп­ре­деля­ет­ся пу­тем по­ис­ка IP ад­ре­са по­тока в ин­форма­ци­он­ной ба­зе марш­ру­тиза­ции BGP. Ес­ли ин­форма­ция о пу­ти для это­го по­тока яв­ля­ет­ся дос­тупной толь­ко для не­упо­рядо­чен­но­го на­бора АС (и не как упо­рядо­чен­ная пос­ле­дова­тель­ность АС), то ве­личи­на ин­форма­ци­он­но­го эле­мен­та бу­дет 0. В слу­чае асим­метрии BGP, bgpPre­vAd­ja­cen­tAsNum­ber не мо­жет со­об­щать пра­виль­ную ве­личи­ну.

130

Ex­porte­rIPv4Add­ress

IP ад­рес v4, ис­поль­зу­емый про­цес­сом экс­пор­та. Он ис­поль­зу­ет­ся кол­лекто­ром для иден­ти­фика­ции Экс­пор­те­ра в слу­ча­ях, где иден­ти­фика­ция Экс­пор­те­ра мо­жет быть скры­та за счет ис­поль­зо­вания Прок­си сер­ве­ра.

131

Ex­porte­rIPv6Add­ress

IP ад­рес v6, ис­поль­зу­емый про­цес­сом экс­пор­та. Он ис­поль­зу­ет­ся кол­лекто­ром для иден­ти­фика­ции Экс­пор­те­ра в слу­ча­ях, где иден­ти­фика­ция Экс­пор­те­ра мо­жет быть скры­та за счет ис­поль­зо­вания Прок­си сер­ве­ра.

132

Drop­pe­dOc­tetDel­ta­Co­unt

Чис­ло байт (ок­те­тов) со вре­мени пре­дыду­щего от­че­та в па­кетах это­го По­тока, прос­мотрен­ных об­ра­бот­чи­ком па­кетов. Чис­ло байт вклю­ча­ет IP за­голов­ки и по­лез­ную ин­форма­цию.

133

Drop­pedPac­ketDel­ta­Co­unt

Чис­ло па­кетов со вре­мени пре­дыду­щего от­че­та в па­кетах это­го По­тока, прос­мотрен­ных об­ра­бот­чи­ком па­кетов.

134

Drop­pe­dOc­tetTo­tal­Co­unt

Об­щее чис­ло байт в па­кетах это­го По­тока, прос­мотрен­ных об­ра­бот­чи­ком па­кетов с мо­мен­та ини­ци­али­зации про­цес­са наб­лю­дения до те­куще­го мо­мен­та. Чис­ло байт вклю­ча­ет IP за­голов­ки и по­лез­ную ин­форма­цию.

135

Drop­pedPac­ketTo­tal­Co­unt

Об­щее чис­ло па­кетов это­го По­тока, прос­мотрен­ных об­ра­бот­чи­ком па­кетов с мо­мен­та ини­ци­али­зации про­цес­са наб­лю­дения до те­куще­го мо­мен­та.

136

Flo­wEnd­Re­ason

При­чина пре­рыва­ния По­тока.

137

Com­monP­ro­per­ti­esId

Иден­ти­фика­тор на­бора об­щих свой­ств, ко­торый яв­ля­ет­ся уни­каль­ным для Наб­лю­да­емо­го до­мена и транс­пор­тной сес­сии. Обыч­но этот ин­форма­ци­он­ный эле­мент ис­поль­зу­ет­ся для свя­зи с ин­форма­ци­ей, по­луча­емой в раз­личных за­писях.

138

Ob­serva­ti­on­Po­in­tId

Иден­ти­фика­тор Точ­ки наб­лю­дения, ко­торый яв­ля­ет­ся уни­каль­ным для Наб­лю­да­емо­го до­мена. Ре­комен­ду­ет­ся, что­бы этот иден­ти­фика­тор был так­же уни­каль­ным для IP­FIX уст­рой­ства. Обыч­но это ин­форма­ци­он­ный эле­мент ис­поль­зу­ет­ся для ог­ра­ниче­ния объема дру­гих ин­форма­ци­он­ных эле­мен­тов.

139

Icm­pTy­peCo­de­IPv6

Тип и код со­об­ще­ния IPv6 ICMP. Ин­форма­ция со­об­ща­ет­ся как: (ICMP*256)+ICMP код.

140

MplsTop­La­belIPv6Add­ress

IPv6 ад­рес сис­те­мы, MPLS мет­ка ко­торой выз­ва­ла пе­ренап­равле­ние По­тока.

141

Li­neCar­dId

Иден­ти­фика­тор ли­ней­ной пла­ты, ко­торый яв­ля­ет­ся уни­каль­ным для IP­FIX уст­рой­ства в наб­лю­да­емой точ­ке. Обыч­но этот ин­форма­ци­он­ный эле­мент ис­поль­зу­ет­ся для ог­ра­ниче­ния объема ин­форма­ци­он­ных эле­мен­тов.

142

Por­tId

Иден­ти­фика­тор ли­ней­но­го пор­та, ко­торый яв­ля­ет­ся уни­каль­ным для IP­FIX уст­рой­ства в точ­ке наб­лю­дения. Обыч­но этот ин­форма­ци­он­ный эле­мент ис­поль­зу­ет­ся для ог­ра­ниче­ния объема ин­форма­ци­он­ных эле­мен­тов.

143

Me­tering­Pro­ces­sId

Иден­ти­фика­тор про­цес­са отс­ле­жива­ния по­тока, ко­торый яв­ля­ет­ся уни­каль­ным для IP­FIX уст­рой­ства. Обыч­но этот ин­форма­ци­он­ный эле­мент ис­поль­зу­ет­ся для ог­ра­ниче­ния дру­гих ин­форма­ци­он­ных эле­мен­тов. Иден­ти­фика­торы про­цес­са обыч­но наз­на­ча­ют­ся ди­нами­чес­ки. Отс­ле­жива­емый про­цесс мо­жет быть пе­резаг­ру­жен с дру­гим иден­ти­фика­тором.

144

Ex­porting­Pro­ces­sId

Иден­ти­фика­тор Экс­пор­тно­го про­цес­са, ко­торый яв­ля­ет­ся уни­каль­ным для IP­FIX уст­рой­ства. Обыч­но этот ин­форма­ци­он­ный эле­мент ис­поль­зу­ет­ся для ог­ра­ниче­ния дру­гих ин­форма­ци­он­ных эле­мен­тов. Иден­ти­фика­торы про­цес­са обыч­но наз­на­ча­ют­ся ди­нами­чес­ки. Отс­ле­жива­емый про­цесс мо­жет быть пе­резаг­ру­жен с дру­гим иден­ти­фика­тором.

145

Temp­la­te­Id

Иден­ти­фика­тор шаб­ло­на, ко­торый яв­ля­ет­ся ло­каль­но уни­каль­ным внут­ри транс­пор­тной сес­сии и отс­ле­жива­емо­го до­мена. Иден­ти­фика­торы шаб­ло­нов с 0 до 255 за­резер­ви­рова­ны для на­бора Шаб­ло­нов, на­бора рас­ши­рений шаб­ло­нов и дру­гих за­резер­ви­рован­ных на­боров еще до их соз­да­ния. Иден­ти­фика­торы шаб­ло­нов для на­боров дан­ных име­ют но­мера с 256 до 65535.

146

WlanC­han­ne­lId

Иден­ти­фика­тор ка­нала про­токо­ла 802.11 (Wi-Fi).

147

WlanS­SID

Се­тевой иден­ти­фика­тор (SSID), ис­поль­зу­емый в се­ти 802.11 (Wi-Fi).

148

Flo­wId

Иден­ти­фика­тор по­тока, ко­торый яв­ля­ет­ся уни­каль­ным внут­ри отс­ле­жива­емо­го до­мена. Этот ин­форма­ци­он­ный эле­мент мо­жет ис­поль­зо­вать­ся для раз­ли­чия меж­ду По­тока­ми, ес­ли клю­чи По­токов, та­кие как IP ад­ре­са и но­мера пор­тов со­об­ща­ют­ся в раз­личных за­писях.

149

Ob­serva­ti­on­Do­ma­inId

Иден­ти­фика­тор отс­ле­жива­емо­го до­мена, ко­торый яв­ля­ет­ся ло­каль­но уни­каль­ным в Экс­пор­ти­ру­емом про­цес­се. Экс­пор­ти­ру­емый про­цесс ис­поль­зу­ет иден­ти­фика­тор отс­ле­жива­емо­го до­мена для уни­каль­ной иден­ти­фика­ции для про­цес­са сбо­ра отс­ле­жива­емо­го до­мена, где отс­ле­жива­ют­ся по­токи. Ре­комен­ду­ет­ся, что­бы этот иден­ти­фика­тор был уни­каль­ным для IP­FIX уст­рой­ства. Ве­личи­на 0 иден­ти­фици­ру­ет, что не­оп­ре­делен­ный отс­ле­жива­емый до­мен иден­ти­фици­ру­ет­ся этим ин­форма­ци­он­ным эле­мен­том.

150

FlowS­tar­tSe­conds

Аб­со­лют­ная мет­ка вре­мени пер­во­го па­кета в по­токе, из­ме­ря­емая в се­кун­дах.

151

Flo­wEnd­Se­conds

Аб­со­лют­ная мет­ка вре­мени пос­ледне­го па­кета в по­токе, из­ме­ря­емая в се­кун­дах.

152

FlowS­tar­tMil­li­seconds

Аб­со­лют­ная мет­ка вре­мени пер­во­го па­кета в по­токе, из­ме­ря­емая в мил­ли­секун­дах.

153

Flo­wEnd­Mil­li­seconds

Аб­со­лют­ная мет­ка вре­мени пос­ледне­го па­кета в по­токе, из­ме­ря­емая в мил­ли­секун­дах.

154

FlowS­tar­tMic­ro­seconds

Аб­со­лют­ная мет­ка вре­мени пер­во­го па­кета в по­токе, из­ме­ря­емая в мик­ро­секун­дах.

155

Flo­wEnd­Mic­ro­seconds

Аб­со­лют­ная мет­ка вре­мени пос­ледне­го па­кета в по­токе, из­ме­ря­емая в мик­ро­секун­дах.

156

FlowS­tar­tNa­nose­conds

 

Аб­со­лют­ная мет­ка вре­мени пер­во­го па­кета в по­токе, из­ме­ря­емая в на­носе­кун­дах.

157

Flo­wEnd­Na­nose­conds

 

Аб­со­лют­ная мет­ка вре­мени пос­ледне­го па­кета в по­токе, из­ме­ря­емая в на­носе­кун­дах.

158

FlowS­tar­tDel­ta­Mic­ro­seconds

 

Это от­но­ситель­ная мет­ка вре­мени дей­стви­тель­ная толь­ко внут­ри од­но­го IP­FIX со­об­ще­ния. Она со­дер­жит от­ри­цатель­ный вре­мен­ной сдвиг от­но­ситель­но пер­во­го отс­ле­жива­емо­го па­кета в этом По­токе от­но­ситель­но вре­мени экс­пор­та, оп­ре­делен­но­го в за­голов­ке IP­FIX со­об­ще­ния.

159

Flo­wEnd­Del­ta­Mic­ro­seconds

 

Это от­но­ситель­ная мет­ка вре­мени, дей­стви­тель­ная внут­ри од­но­го IP­FIX со­об­ще­ния. Она со­дер­жит от­ри­цатель­ный вре­мен­ной сдвиг пос­ледне­го отс­ле­жива­емо­го па­кета для это­го По­тока от­но­ситель­но к вре­мени экс­пор­та, оп­ре­делен­но­го в за­голов­ке IP­FIX со­об­ще­ния.

160

Sys­te­mInit­Ti­meMil­li­seconds

Аб­со­лют­ная мет­ка вре­мени в мил­ли­секун­дах пос­ледней ини­ци­али­зации IP­FIX уст­рой­ства.

161

flow­Du­rati­on­Milli­seconds

Оп­ре­деля­ет раз­ни­цу во вре­мени в мил­ли­секун­дах меж­ду пер­вым наб­лю­да­емым па­кетом в дан­ном По­токе и пос­ледним наб­лю­да­емым па­кетом.

162

flow­Du­rati­on­Micro­seconds

Оп­ре­деля­ет раз­ни­цу во вре­мени в мик­ро­секун­дах меж­ду пер­вым наб­лю­да­емым па­кетом в дан­ном По­токе и пос­ледним наб­лю­да­емым па­кетом.

163

ob­servedF­low­To­tal­Co­unt

Об­щее чис­ло по­токов наб­лю­да­емых в Наб­лю­да­емом До­мене с мо­мен­та ини­ци­али­зации (ре­инин­ци­али­зации) из­ме­ритель­но­го про­цес­са для этой точ­ки наб­лю­дения.

164

ig­no­red­Packet­To­tal­Co­unt

Об­щее чис­ло наб­лю­да­емых IP па­кетов, ко­торое про­цесс из­ме­нения не об­ра­ботал с мо­мен­та ини­ци­али­зации (ре­ини­ци­али­зации) это­го про­цес­са.

165

ig­no­redOc­tetTo­tal­Co­unt

Об­щее чис­ло байт в наб­лю­да­емых IP па­кетах (вклю­чая и за­голо­вок па­кетов), ко­торое про­цесс из­ме­рения не об­ра­ботал с мо­мен­та ини­ци­али­зации это­го про­цес­са.

166

not­Sent­Flow­To­tal­Co­unt

Об­щее чис­ло по­токо­вых за­писей, ко­торое бы­ло сге­нери­рова­но про­цес­сом из­ме­рения и уда­лено про­цес­сом из­ме­рения или про­цес­сом экс­пор­та вмес­то по­сыл­ки их кол­лекто­ру.

167

not­Sent­Pac­ketTo­tal­Co­unt

Об­щее чис­ло па­кетов, ко­торое бы­ло сге­нери­рова­но про­цес­сом из­ме­рения и уда­лено про­цес­сом из­ме­рения или про­цес­сом экс­пор­та вмес­то по­сыл­ки их кол­лекто­ру. Су­щест­ву­ет нес­коль­ко по­тен­ци­аль­ных при­чин для это­го, вклю­чая де­фицит ре­сур­сов и спе­ци­аль­ные экс­пор­тные по­лити­ки.

168

not­SentOc­tetTo­tal­Co­unt

Об­щее чис­ло бай­тов, ко­торое бы­ло сге­нери­рова­но про­цес­сом из­ме­рения и уда­лено про­цес­сом из­ме­рения или про­цес­сом экс­пор­та вмес­то по­сыл­ки их кол­лекто­ру. Су­щест­ву­ет нес­коль­ко по­тен­ци­аль­ных при­чин для это­го, вклю­чая де­фицит ре­сур­сов и спе­ци­аль­ные экс­пор­тные по­лити­ки.

169

des­ti­nati­onIPv6Pre­fix

Пре­фикс IPv6 ад­ре­са при­ем­ни­ка

170

so­ur­ce­IPv6Pre­fix

Пре­фикс IPv6 ад­ре­са

171

pos­tOctet­To­tal­Co­unt

Оп­ре­деле­ние это­го ин­форма­ци­он­но­го эле­мен­та яв­ля­ет­ся иден­тичным оп­ре­деле­нию ин­форма­ци­он­но­го эле­мен­та oc­tetTo­tal­Co­unt, за иск­лю­чени­ем то­го, что он со­об­ща­ет по­тен­ци­аль­но мо­дифи­циру­емую ве­личи­ну, ко­торая осу­щест­вля­ет­ся функ­ци­ей про­межу­точ­но­го уст­рой­ства (midd­le­box) пос­ле то­го, как па­кет пос­лан точ­кой наб­лю­дения.

172

post­Pac­ketTo­tal­Co­unt

Оп­ре­деле­ние это­го ин­форма­ци­он­но­го эле­мен­та яв­ля­ет­ся иден­тичным оп­ре­деле­нию ин­форма­ци­он­но­го эле­мен­та pac­ketTo­tal­Co­unt, за иск­лю­чени­ем то­го, что он со­об­ща­ет по­тен­ци­аль­но мо­дифи­циру­емую ве­личи­ну, ко­торая осу­щест­вля­ет­ся функ­ци­ей про­межу­точ­но­го уст­рой­ства (midd­le­box) пос­ле то­го, как па­кет пос­лан точ­кой наб­лю­дения.

173

flow­Ke­yIn­di­cator

Этот на­бор би­товых по­лей ис­поль­зу­ет­ся для по­мет­ки ин­форма­ци­он­ных эле­мен­тов за­писей дан­ных, ко­торые слу­жат Клю­чом По­тока. Каж­дый бит предс­тав­ля­ет ин­форма­ци­он­ный эле­мент в за­писи дан­ных с N-м би­том, предс­тав­ля­ющим N-й ин­форма­ци­он­ных эле­мент. Бит, ус­та­нов­ленный, в 1 по­казы­ва­ет, что со­от­ветс­тву­ющий ин­форма­ци­он­ный эле­мент яв­ля­ет­ся Клю­чом По­тока. Бит, ус­та­нов­ленный в 0, по­казы­ва­ет, что он не ис­поль­зу­ет­ся.

Ес­ли за­пись дан­ных ис­поль­зу­ет бо­лее чем 64 ин­форма­ци­он­ных эле­мен­та, со­от­ветс­тву­ющий Шаб­лон дол­жен быть соз­дан так, что­бы все Клю­чи По­тока на­ходи­лись сре­ди пер­вых 64 ин­форма­ци­он­ных эле­мен­тов, пос­коль­ку flow­Ke­yIn­di­cator со­дер­жит толь­ко 64 би­та. Ес­ли за­пись дан­ных со­дер­жит мень­ше чем 64 ин­форма­ци­он­ных эле­мен­та, то би­ты в flow­Ke­yIn­di­cator, для ко­торых нет ин­форма­ци­он­ных эле­мен­тов, ДОЛЖ­НЫ иметь ве­личи­ну 0.

174

post­MCast­Pac­ketTo­tal­Co­unt

Об­щее чис­ло ис­хо­дящих груп­по­вых (mul­ti­cast) па­кетов пос­ланных для па­кетов это­го По­тока де­моном (скры­тым про­цес­сом) внут­ри наб­лю­да­емо­го до­мена с мо­мен­та ини­ци­али­зации из­ме­ритель­но­го про­цес­са. Это свой­ство не обя­затель­но долж­но наб­лю­дать­ся в точ­ке наб­лю­дения, но мо­жет быть оп­ре­деле­но для дру­гих це­лей.

175

post­MCas­tOctet­To­tal­Co­unt

Об­щее чис­ло байт в ис­хо­дящих груп­по­вых (mul­ti­cast) па­кетах пос­ланных для па­кетов это­го По­тока груп­по­вым де­моном (скры­тым про­цес­сом) внут­ри наб­лю­да­емо­го до­мена с мо­мен­та ини­ци­али­зации из­ме­ритель­но­го про­цес­са. Это свой­ство не обя­затель­но долж­но наб­лю­дать­ся в точ­ке наб­лю­дения, но мо­жет быть оп­ре­деле­но для дру­гих це­лей.

176

icm­pTy­pe­IPv4

Тип ICMP со­об­ще­ния при IPv4 ад­ре­сации

177

icm­pCo­de­IPv4

Код ICMP со­об­ще­ния при IPv4 ад­ре­сации

178

icm­pTy­pe­IPv6

Тип ICMP со­об­ще­ния при IPv6 ад­ре­сации

179

icm­pCo­de­IPv6

Код ICMP со­об­ще­ния при IPv6 ад­ре­сации

180

udp­So­ur­ce­Port

Иден­ти­фика­тор пор­та ис­точни­ка в UDP за­голов­ке

181

udp­Des­ti­nati­on­Port

Иден­ти­фика­тор пор­та при­ем­ни­ка в UDP за­голов­ке

182

tcpSo­ur­ce­Port

Иден­ти­фика­тор пор­та ис­точни­ка в TCP за­голов­ке

183

tcpDes­ti­nati­on­Port

Иден­ти­фика­тор пор­та при­ем­ни­ка в TCP за­голов­ке

184

tcpSe­qu­en­ce­Num­ber

По­ряд­ко­вый но­мер в TCP за­голов­ке

185

tcpAck­now­ledge­ment­Num­ber

Подт­вер­жда­ющий но­мер в TCP за­голов­ке

186

tcpWin­dowSi­ze

По­ле раз­ме­ра ок­на в TCP за­голов­ке. Ес­ли масш­та­биро­вание TCP ок­на под­держи­ва­ет­ся, то это масш­та­биро­вание долж­но быть из­вест­но для пра­виль­ной ин­терп­ре­тации ве­личи­ны этой ин­форма­ции.

187

tcpUr­gent­Po­in­ter

Ука­затель сроч­ности в TCP за­голов­ке

188

tcpHe­ader­Length

Дли­на TCP за­голов­ка. Сле­ду­ет за­метить, что ве­личи­на это­го ин­форма­ци­он­но­го эле­мен­та яв­ля­ет­ся раз­личной в за­виси­мос­ти от ве­личи­ны по­ля Сме­щения Дан­ных (Da­ta Off­set) в TCP за­голов­ке. По­ле Сме­щения Дан­ных по­казы­ва­ет дли­ну TCP за­голов­ка в еди­ницах, рав­ных 4 бай­там. Этот ин­форма­ци­он­ных эле­мент оп­ре­деля­ет дли­ну TCP за­голов­ка в еди­ницах байт.

189

ip­He­ader­Length

Дли­на IP за­голов­ка. Для IPv6 ве­личи­на это­го ин­форма­ци­он­но­го эле­мен­та рав­на 40.

190

to­tal­Leng­thIPv4

Об­щая дли­на IPv4 па­кета.

191

pa­yload­Leng­thIPv6

Ин­форма­ци­он­ный эле­мент отоб­ра­жа­ет ве­личи­ну по­ля Дли­на Дан­ных (Pa­yload Length) в за­голов­ке IPv6.

192

ipTTL

Для IPv4 ве­личи­на это­го по­ля со­от­ветс­тву­ет по­лю Вре­мя Жиз­ни (Ti­me to Li­ve, TTL) в за­голов­ке па­кета. Для IPv6 — по­лю Ог­ра­ниче­ния Пе­ресы­лок (Hop Li­mit) в за­голов­ке па­кета.

193

next­He­ade­rIPv6

Отоб­ра­жа­ет по­ле Сле­ду­юще­го За­голов­ка (Next He­ader) в за­голов­ке IPv6 па­кета.

194

mplsPa­yload­Length

Раз­мер MPLS па­кета без сте­ка мет­ки (la­bel stack).

195

ip­Diff­Ser­vCo­dePo­int

Ве­личи­на Точ­ки ко­да диф­фе­рен­ци­рован­ных ус­луг (Dif­fe­ren­ti­ated Ser­vi­ces Co­de Po­int (DSCP)) за­коди­рован­ная в по­ле Диф­фе­рен­ци­рован­ных ус­луг (Dif­fe­ren­ti­ated Ser­vi­ces).   По­ле Диф­фе­рен­ци­рован­ных ус­луг оп­ре­деля­ет на­ибо­лее важ­ные 6 бит по­ля Тип Сер­ви­са (TOS) в IPv4 или по­ля Класс Тра­фика (Traf­fic Class) в IPv6. В этом эле­мен­те ис­поль­зу­ет­ся толь­ко 6 бит, по­это­му зна­чение эле­мен­та мо­жет быть в ди­апа­зоне 0 — 63.

196

ipP­re­ceden­ce

Зна­чение IP при­ори­тета. Эта зна­чение ко­диру­ет­ся в пер­вых трех би­тах по­ля Тип Сер­ви­са (TOS) для IPv4 или по­ля Класс Тра­фика (Traf­fic Class) в IPv6

197

frag­ment­Flags

Фраг­мента­ция оп­ре­деля­ет­ся фла­гами в за­голов­ке па­кета IPv4 или в за­голов­ке фраг­мента­ции па­кета IPv6

198

oc­tetDel­ta­SumOfS­qua­res

Сум­ма квад­ра­тов чис­ла байт по вхо­дяще­му па­кету с мо­мен­та пре­дыду­щего от­че­та для это­го По­тока в Точ­ке Наб­лю­дения. Чис­ло байт вклю­ча­ет IP за­голо­вок и со­дер­жа­ние па­кета.

199

oc­tetTo­tal­Su­mOfS­qua­res

Об­щая сум­ма квад­ра­тов чис­ла байт по вхо­дящих па­кетах для это­го По­тока в Точ­ке Наб­лю­дения с мо­мен­та ини­ци­али­зации из­ме­ритель­но­го про­цес­са. Чис­ло байт вклю­ча­ет IP за­голо­вок и со­дер­жа­ние па­кета.

200

mplsTop­La­belTTL

По­ле TTL (вре­мя жиз­ни) из MPLS мет­ки в вер­хушке сте­ка, т.е. пос­ледней.

201

mplsLa­belS­tac­kLength

Дли­на MPLS сте­ка в бай­тах.

202

mplsLa­belS­tac­kDepth

Чис­ло ме­ток в сте­ке MPLS ме­ток.

203

mplsTop­La­belExp

По­ле Exp из MPLS мет­ки, на­ходя­щей­ся в вер­хушке сте­ка.

204

ip­Pa­yload­Length

Дей­стви­тель­ная дли­на те­ла IP па­кета. Для па­кетов IPv4 ве­личи­на это­го ин­форма­ци­он­но­го эле­мен­та яв­ля­ет­ся от­личной от дли­ны па­кета IPv4 (в to­tal­Leng­thIPv4) и дли­ной за­голов­ка па­кета (he­ader­Leng­thIPv4). Для IPv6 ве­личи­на это­го эле­мен­та в за­голов­ке па­кета отоб­ра­жа­ет­ся иск­лю­читель­но в слу­чае, ког­да ве­личи­на это­го по­ля рав­на 0 и су­щест­ву­ет по­ле Боль­шой дли­ны (jum­bo pa­yload).

205

udp­Mes­sa­geLength

Зна­чение дли­ны по­ля в UDP за­голов­ке.

206

is­Multi­cast

Ес­ли IP ад­рес при­ем­ни­ка не яв­ля­ет­ся за­резер­ви­рован­ным груп­по­вым (mul­ti­cast) ад­ре­сом, то зна­чение всех бит в бай­те (вклю­чая ре­зерв­ные) рав­но 0. Пер­вый бит это­го бай­та ус­та­нов­лен в 1, ес­ли по­ле Вер­сии в IP за­голов­ке име­ет зна­чение 4 и ес­ли по­ле ад­ре­са при­ем­ни­ка со­дер­жит за­резер­ви­рован­ный груп­по­вой ад­рес в ди­апа­зоне 224.0.0.0 — 239.255.255.255. В про­тив­ном слу­чае этот бит ра­вен 0. Вто­рой и тре­тий би­ты за­резер­ви­рова­ны для бу­дуще­го при­мене­ния. Ос­тавши­еся би­ты ус­та­нав­ли­ва­ют­ся в зна­чение от­личное от 0, ес­ли IP ад­рес при­ем­ни­ка яв­ля­ет­ся за­резер­ви­рован­ным IPv6 груп­по­вым ад­ре­сом. Тог­да чет­вертый бит ус­та­нав­ли­ва­ет­ся в зна­чение T фла­га в IPv6 груп­по­вого ад­ре­са.

207

ipv4IHL

Зна­чение по­ля дли­ны за­голов­ка (In­ternet He­ader Length (IHL) в за­голов­ке Ipv4.

208

ipv4Op­ti­ons

IPv4 па­рамет­ры в па­кете это­го По­тока. Ин­форма­ция ко­диру­ет­ся в на­бор би­товых по­лей. Для каж­до­го IPv4 ти­па па­рамет­ра су­щест­ву­ет бит в этом на­боре. Бит ус­та­нав­ли­ва­ет­ся в 1, ес­ли лю­бой исс­ле­ду­емый па­кет это­го По­тока со­дер­жит со­от­ветс­тву­ющий па­раметр. В про­тив­ном слу­чае зна­чение рав­но 0. Спи­сок па­рамет­ров:http://www.iana.org/as­sign­ments/ip-pa­rame­ters

209

tcpOp­ti­ons

TCP па­рамет­ры в па­кетах это­го По­тока. Ин­форма­ция ко­диру­ет­ся в на­бор би­товых по­лей. Для каж­до­го TCP ти­па па­рамет­ра су­щест­ву­ет бит в этом на­боре. Бит ус­та­нав­ли­ва­ет­ся в 1, ес­ли лю­бой исс­ле­ду­емый па­кет это­го По­тока со­дер­жит со­от­ветс­тву­ющий па­раметр. В про­тив­ном слу­чае зна­чение рав­но 0.

210

pad­dingOc­tets

Зна­чени­ем это­го эле­мен­та яв­ля­ет­ся пос­ле­дова­тель­ность ве­личин 0x00

211

col­lecto­rIPv4Add­ress

IPv4 ад­рес, на ко­торый Экс­пор­ти­ру­емый Про­цесс по­сыла­ет По­ток ин­форма­ции.

212

col­lecto­rIPv6Add­ress

IPv6 ад­рес, на ко­торый Экс­пор­ти­ру­емый Про­цесс по­сыла­ет По­ток ин­форма­ции.

213

ex­portIn­terfa­ce

Ин­декс ин­терфей­са, с ко­торо­го IP­FIX со­об­ще­ния по­сыла­ют­ся Экс­пор­ти­ру­емым Про­цес­сом на Кол­лектор.

214

ex­port­Pro­tocol­Versi­on

Вер­сия про­токо­ла, ис­поль­зу­емая Экс­пор­ти­ру­ющим Про­цес­сом для по­сыл­ки По­токо­вой ин­форма­ции. Вер­сия про­токо­ла за­да­ет­ся зна­чени­ем по­ля Но­мер вер­сии (Ver­si­on Num­ber) в за­голов­ке со­об­ще­ния. Для IP­FIX — зна­чение 10, для NetF­low вер­сии 9 — 9.

215

ex­port­Trans­port­Pro­tocol

Зна­чение но­мера про­токо­ла, ис­поль­зу­емо­го Экс­пор­ти­ру­емым Про­цес­сом для по­сыл­ки По­токо­вой ин­форма­ции. Но­мер про­токо­ла оп­ре­деля­ет тип IP па­кета.

216

col­lectorT­ran­sport­Port

Иден­ти­фика­тор пор­та при­ем­ни­ка, на ко­торый Экс­пор­тный Про­цесс по­сыла­ет По­токо­вую ин­форма­цию.     Для транс­пор­тных про­токо­лов UDP, TCP и SCTP — это но­мер пор­та при­ем­ни­ка.

217

ex­porterT­ran­sport­Port

Иден­ти­фика­тор пор­та ис­точни­ка, с ко­торо­го Экс­пор­тный Про­цесс по­сыла­ет По­токо­вую ин­форма­цию. Для транс­пор­тных про­токо­лов UDP, TCP и SCTP — это но­мер пор­та ис­точни­ка.

218

tcpSyn­To­tal­Co­unt

Об­щее чис­ло па­кетов конк­рет­но­го по­тока с TCP фла­гом "Sync­hro­nize       se­qu­en­ce num­bers" (SYN)

219

tcpFin­To­tal­Co­unt

Об­щее чис­ло па­кетов конк­рет­но­го по­тока с TCP фла­гом "No mo­re da­ta       from sen­der" (FIN)

220

tcpRstTo­tal­Co­unt

Об­щее чис­ло па­кетов конк­рет­но­го по­тока с TCP фла­гом "Re­set the       con­necti­on" (RST)

221

tcpPshTo­tal­Co­unt

Об­щее чис­ло па­кетов конк­рет­но­го по­тока с TCP фла­гом "Push Func­ti­on"       (PSH)

222

tcpAck­To­tal­Co­unt

Об­щее чис­ло па­кетов конк­рет­но­го по­тока с TCP фла­гом "Ack­now­ledg­ment       fi­eld sig­ni­ficant" (ACK)

223

tcpUrg­To­tal­Co­unt

Об­щее чис­ло па­кетов конк­рет­но­го по­тока с TCP фла­гом "Ur­gent Po­in­ter       fi­eld sig­ni­ficant" (URG)

224

ip­To­tal­Length

Об­щая дли­на IP па­кета.

237

postMplsTop­La­belExp

Оп­ре­деле­ние это­го ин­форма­ци­он­но­го эле­мен­та иден­тично оп­ре­деле­нию ин­форма­ци­он­но­го эле­мен­та mplsTop­La­belExp за иск­лю­чени­ем то­го, что он отоб­ра­жа­ет по­тен­ци­аль­но мо­дифи­циру­емое зна­чение функ­ци­ей про­межу­точ­но­го уст­рой­ства (midd­le­box func­ti­on) пос­ле то­го, как па­кет прой­дет точ­ку наб­лю­дения.

238

tcpWin­dowS­ca­le

Масш­та­биро­вание по­ля ок­на в TCP за­голов­ке.

Ин­форма­ци­он­ные эле­мен­ты в IP­FIX про­токо­ле раз­би­ты на 12 групп:

1. Иден­ти­фика­торы.

2. Кон­фи­гура­ция про­цес­сов из­ме­рения и экс­пор­та.

3. Ста­тис­ти­ка про­цес­сов из­ме­рения и экс­пор­та.

4. По­ля IP за­голов­ка.

5. По­ля транс­пор­тно­го за­голов­ка.

6. По­ля под­за­голов­ка.

7. Изв­ле­чен­ные па­кет­ные свой­ства.

8. Ми­нималь­ные/ мак­си­маль­ные свой­ства по­тока.

9. Вре­мен­ные па­рамет­ры по­тока.

10. Счет­чи­ки по по­току.

11. Раз­носто­рон­ние свой­ства по­тока.

12. До­пол­не­ние.

Ин­форма­ци­он­ные эле­мен­ты, ко­торые изв­ле­ка­ют­ся из по­лей па­кетов или по­луча­ют­ся в ре­зуль­та­те об­ра­бот­ки па­кетов, та­кие как эле­мен­ты в груп­пах 4-7, мо­гут обыч­но при­менять­ся в ка­чест­ве По­токо­вых клю­чей (Flow Ke­ys), ко­торые ис­поль­зу­ют­ся для при­вяз­ки па­кетов к По­токам.

Ес­ли они не ис­поль­зу­ют­ся, как По­токо­вые клю­чи, то их зна­чения мо­гут из­ме­нять­ся от па­кета к па­кету внут­ри од­но­го По­тока. Для ин­форма­ци­он­ных эле­мен­тов со зна­чени­ями, ко­торые изв­ле­ка­ют­ся из по­лей па­кетов или по­луча­ют­ся в ре­зуль­та­те об­ра­бот­ки па­кетов, и для ко­торых зна­чение мо­жет из­ме­нять­ся о па­кета к па­кету внут­ри од­но­го По­тока, ин­форма­ци­он­ная мо­дель IP­FIX счи­та­ет, что их зна­чение оп­ре­деля­ют­ся пер­вым па­кетом, наб­лю­да­емым в со­от­ветс­тву­ющем По­токе, кро­ме опи­сания ин­форма­ци­он­но­го эле­мен­та нап­ря­мую оп­ре­делен­но­го в раз­личных се­ман­ти­ках. Это прос­тое пра­вило оп­ре­деля­ет за­пись всех ин­форма­ци­он­ных эле­мен­тов, свя­зан­ных с по­лями за­голов­ка еди­нож­ды тог­да, ког­да наб­лю­да­ет­ся пер­вый па­кет По­тока. Для исс­ле­ду­емых в даль­ней­шем па­кетах это­го же По­тока, толь­ко те свой­ства По­тока, ко­торые за­висят от бо­лее чем од­но­го па­кета, та­ких как ин­форма­ци­он­ных эле­мен­тов в груп­пах 8-11, не­об­хо­димо бу­дет до­бавить.

 

Иден­ти­фика­торы

Ин­форма­ци­он­ные эле­мен­ты, ука­зан­ные ни­же, яв­ля­ют­ся иден­ти­фика­ци­он­ны­ми   ком­по­нен­та­ми IP­FIX ар­хи­тек­ту­ры, IP­FIX уст­рой­ств или IP­FIX про­токо­ла. Обыч­но, они ис­поль­зу­ют­ся для ог­ра­ниче­ния гра­ниц дру­гих ин­форма­ци­он­ных эле­мен­тов (таб­ли­ца 4).

Таб­ли­ца 4

ID

На­име­нова­ние

ID

На­име­нова­ние

141

li­neCar­dId

148

flo­wId

142

por­tId

145

temp­la­te­Id

10

ing­res­sInter­fa­ce

149

ob­serva­ti­on­Do­ma­inId

14

eg­ressIn­terfa­ce

138

ob­serva­ti­on­Po­in­tId

143

me­tering­Pro­ces­sId

137

com­monP­ro­per­ti­esId

144

ex­porting­Pro­ces­sId

 

 

 

Кон­фи­гура­ция про­цес­сов из­ме­рения и экс­пор­та

При­веден­ные в таб­ли­це ни­же пе­речень ин­форма­ци­он­ных эле­мен­тов ис­поль­зу­ют­ся для кон­фи­гура­ции про­цес­сов из­ме­рения и экс­пор­та.

Таб­ли­ца 5

ID

На­име­нова­ние

ID

На­име­нова­ние

130

ex­porte­rIPv4Add­ress

213

ex­portIn­terfa­ce

131

ex­porte­rIPv6Add­ress

214

ex­port­Pro­tocol­Versi­on

217

ex­porterT­ran­sport­Port

215

ex­port­Trans­port­Pro­tocol

211

col­lecto­rIPv4Add­ress

216

col­lectorT­ran­sport­Port

212

col­lecto­rIPv6Add­ress

173

flow­Ke­yIn­di­cator

 

Ста­тис­ти­ка про­цес­сов из­ме­рения и экс­пор­та

Ин­форма­ци­он­ные эле­мен­ты это­го сек­то­ра опи­сыва­ют ста­тис­ти­ку про­цес­сов из­ме­рения и экс­пор­та. Пе­речень их при­веден в таб­ли­це ни­же.

Таб­ли­ца 6

ID

На­име­нова­ние

ID

На­име­нова­ние

41

ex­ported­Messa­geTo­tal­Co­unt

165

ig­no­redOc­tetTo­tal­Co­unt

40

ex­porte­dOc­tetTo­tal­Co­unt

166

not­Sent­Flow­To­tal­Co­unt

42

ex­portedF­low­Re­cord­To­tal­Co­unt

167

not­Sent­Pac­ketTo­tal­Co­unt

163

ob­servedF­low­To­tal­Co­unt

168

not­SentOc­tetTo­tal­Co­unt

164

ig­no­red­Packet­To­tal­Co­unt

 

 

 

По­ля IP за­голов­ка

Ин­форма­ци­он­ные по­ля это­го раз­де­ла отоб­ра­жа­ют зна­чения по­лей IP за­голов­ка или ве­личи­ны, изв­ле­чен­ные из IP за­голов­ков.

Таб­ли­ца 7

ID

На­име­нова­ние

ID

На­име­нова­ние

60

ip­Versi­on

193

next­He­ade­rIPv6

8

so­ur­ce­IPv4Add­ress

195

ip­Diff­Ser­vCo­dePo­int

27

so­ur­ce­IPv6Add­ress

196

ipP­re­ceden­ce

9

so­ur­ce­IPv4Pre­fix­Length

5

ipC­las­sOfSer­vi­ce

29

so­ur­ce­IPv6Pre­fix­Length

55

pos­tIpC­las­sOfSer­vi­ce

44

so­ur­ce­IPv4Pre­fix

31

flow­La­belIPv6

170

so­ur­ce­IPv6Pre­fix

206

is­Multi­cast

12

des­ti­nati­onIPv4Add­ress

54

frag­mentI­den­ti­fica­ti­on

28

des­ti­nati­onIPv6Add­ress

88

frag­mentOff­set

13

des­ti­nati­onIPv4Pre­fix­Length

197

frag­ment­Flags

30

des­ti­nati­onIPv6Pre­fix­Length

189

ip­He­ader­Length

45

des­ti­nati­onIPv4Pre­fix

207

ipv4IHL

169

des­ti­nati­onIPv6Pre­fix

190

to­tal­Leng­thIPv4

192

ipTTL

224

ip­To­tal­Length

4

pro­toco­lIden­ti­fi­er

191

pa­yload­Leng­thIPv6

 

По­ля транс­пор­тно­го за­голов­ка

На­бор ин­форма­ци­он­ных эле­мен­тов от­но­сящих­ся к по­лям транс­пор­тно­го за­голов­ка.

Таб­ли­ца 8

ID

На­име­нова­ние

ID

На­име­нова­ние

7

so­ur­ceTrans­por­tPort

238

tcpWin­dowS­ca­le

11

des­ti­nati­onT­ran­sport­Port

187

tcpUr­gent­Po­in­ter

180

udp­So­ur­ce­Port

188

tcpHe­ader­Length

181

udp­Des­ti­nati­on­Port

32

icm­pTy­peCo­de­IPv4

205

udp­Mes­sa­geLength

176

icm­pTy­pe­IPv4

182

tcpSo­ur­ce­Port

177

icm­pCo­de­IPv4

183

tcpDes­ti­nati­on­Port

139

icm­pTy­peCo­de­IPv6

184

tcpSe­qu­en­ce­Num­ber

178

icm­pTy­pe­IPv6

185

tcpAck­now­ledge­ment­Num­ber

179

icm­pCo­de­IPv6

186

tcpWin­dowSi­ze

33

igm­pTy­pe

 

По­ля под­за­голов­ка

Пе­речень ин­форма­ци­он­ных эле­мен­тов, вхо­дящих в этот на­бор при­веден в таб­ли­це ни­же.

Таб­ли­ца 9

ID

На­име­нова­ние

ID

На­име­нова­ние

56

so­ur­ce­MacAdd­ress

201

mplsLa­belS­tac­kLength

81

post­So­ur­ce­MacAdd­ress

194

mplsPa­yload­Length

58

vla­nId

70

mplsTop­La­belS­tac­kSec­ti­on

59

post­Vla­nId

71

mplsLa­belS­tac­kSec­ti­on2

80

des­ti­nati­on­Ma­cAdd­ress

72

mplsLa­belS­tac­kSec­ti­on3

57

post­Des­ti­nati­on­Ma­cAdd­ress

73

mplsLa­belS­tac­kSec­ti­on4

146

wlanC­han­ne­lId

74

mplsLa­belS­tac­kSec­ti­on5

147

wlanS­SID

75

mplsLa­belS­tac­kSec­ti­on6

200

mplsTop­La­belTTL

76

mplsLa­belS­tac­kSec­ti­on7

203

mplsTop­La­belExp

77

mplsLa­belS­tac­kSec­ti­on8

237

postMplsTop­La­belExp

78

mplsLa­belS­tac­kSec­ti­on9

202

mplsLa­belS­tac­kDepth

79

mplsLa­belS­tac­kSec­ti­on10

 

Изв­ле­чен­ные па­кет­ные свой­ства

На­бор ин­форма­ци­он­ных эле­мен­тов, изв­ле­чен­ных из па­кет­ных свой­ств (нап­ри­мер, зна­чения по­лей за­голов­ка) вклю­ча­ют эле­мен­ты, пе­речис­ленные в таб­ли­це ни­же.

Таб­ли­ца 10

ID

На­име­нова­ние

ID

На­име­нова­ние

204

ip­Pa­yload­Length

18

bgpNext­Ho­pIPv4Add­ress

15

ip­Next­Ho­pIPv4Add­ress

63

bgpNext­Ho­pIPv6Add­ress

62

ip­Next­Ho­pIPv6Add­ress

46

mplsTop­La­bel­Ty­pe

16

bgpSo­ur­ce­As­Number

47

mplsTop­La­belIPv4Add­ress

17

bgpDes­ti­nati­onAs­Number

140

mplsTop­La­belIPv6Add­ress

128

bgpNex­tAdja­cen­tAsNum­ber

90

mplsVpnRo­ute­Dis­tingu­is­her

129

bgpPre­vAd­ja­cen­tAsNum­ber

 

 

 

Ми­нималь­ные/мак­си­маль­ные па­рамет­ры по­тока

Таб­ли­ца 11

ID

На­име­нова­ние

ID

На­име­нова­ние

25

mi­nimu­mIp­To­tal­Length

208

ipv4Op­ti­ons

26

ma­ximu­mIp­To­tal­Length

64

ipv6Ex­tensi­on­He­aders

52

mi­nimumTTL

6

tcpCont­rol­Bits

53

ma­ximumTTL

209

tcpOp­ti­ons

 

Вре­мен­ные па­рамет­ры по­тока

Ин­форма­ци­он­ные эле­мен­ты flowS­tar­tSe­conds, flo­wEnd­Se­conds, flowS­tar­tMil­li­seconds, flo­wEnd­Mil­li­seconds, flowS­tar­tMic­ro­seconds, flo­wEnd­Mic­ro­seconds,     flowS­tar­tNa­nose­conds, flo­wEnd­Na­nose­conds и sys­te­mInit­Ti­meMil­li­seconds яв­ля­ют­ся аб­со­лют­ны­ми и по­казы­ва­ют вре­мя в се­кун­дах с 00:00 UTC 1 ян­ва­ря 1970 го­да.

Ин­форма­ци­он­ные эле­мен­ты flowS­tar­tDel­ta­Mic­ro­seconds и flo­wEnd­Del­ta­Mic­ro­seconds яв­ля­ют­ся от­но­ситель­ны­ми и дей­стви­тель­ны толь­ко в рам­ках од­но­го IP­FIX со­об­ще­ния. Они со­дер­жат вре­мя от­ри­цатель­но­го сме­щения от­но­ситель­но вре­мени экс­пор­та, ука­зан­но­го в за­голов­ке IP­FIX со­об­ще­ния. Мак­си­маль­ное зна­чение сме­щения мо­жет быть 1 час 11 ми­нут 34,967295 се­кунд.

Ин­форма­ци­он­ные эле­мен­ты flowS­tar­tSy­sUp­Ti­me и flo­wEnd­Sy­sUp­Ti­me предс­тав­ля­ют от­но­ситель­ное вре­мя по от­но­шению к пос­ледней ини­ци­али­зации IP­FIX уст­рой­ства.

Таб­ли­ца 12

ID

На­име­нова­ние

ID

На­име­нова­ние

150

flowS­tar­tSe­conds

156

flowS­tar­tNa­nose­conds

151

flo­wEnd­Se­conds

157

flo­wEnd­Na­nose­conds

152

flowS­tar­tMil­li­seconds

158

flowS­tar­tDel­ta­Mic­ro­seconds

153

flo­wEnd­Mil­li­seconds

159

flo­wEnd­Del­ta­Mic­ro­seconds

154

flowS­tar­tMic­ro­seconds

160

sys­te­mInit­Ti­meMil­li­seconds

155

flo­wEnd­Mic­ro­seconds

22

flowS­tar­tSy­sUp­Ti­me

 

 

21

flo­wEnd­Sy­sUp­Ti­me

 

По­токо­вые счет­чи­ки

Ин­форма­ци­он­ные эле­мен­ты это­го раз­де­ла яв­ля­ют­ся счет­чи­ками, ко­торые со­дер­жат це­лые зна­чения. Эти зна­чение мо­гут из­ме­нять­ся для каж­до­го от­че­та, где они ис­поль­зу­ют­ся. Они не мо­гут слу­жить По­токо­выми Клю­чами. Од­на­ко, по­тен­ци­аль­но они мо­гут ис­поль­зо­вать­ся для вы­бора экс­пор­ти­ру­емых по­токов, нап­ри­мер, толь­ко по­токов с чис­лом пе­редан­ных байт бо­лее оп­ре­делен­но­го по­рога.

Су­щест­ву­ют ра­бочие счет­чи­ки и из­ме­ня­емые (del­ta) счет­чи­ки. Из­ме­ня­емые счет­чи­ки сбра­сыва­ют­ся в 0 каж­дый раз, ког­да их зна­чение экс­пор­ти­ру­ет­ся. Ра­бочие счет­чи­ки на­кап­ли­ва­ют зна­чение пос­то­ян­но, не­зави­симо от экс­пор­ти­ру­емо­го про­цес­са.

Су­щест­ву­ют по­токо­вые счет­чи­ки (по по­току) и счет­чи­ки свя­зан­ные с про­цес­са­ми из­ме­рения и экс­пор­та. По­токо­вые счет­чи­ки отоб­ра­жа­ют свой­ства по­тока и по­тен­ци­аль­но мо­гут из­ме­нять­ся каж­дый раз, ког­да исс­ле­ду­ет­ся па­кет, при­над­ле­жащий по­току.

Таб­ли­ца 13

ID

На­име­нова­ние

ID

На­име­нова­ние

1

oc­tetDel­ta­Co­unt

134

drop­pe­dOc­tetTo­tal­Co­unt

23

pos­tOctet­Delta­Co­unt

135

drop­pedPac­ketTo­tal­Co­unt

198

oc­tetDel­ta­SumOfS­qua­res

19

post­MCast­Pac­ketDel­ta­Co­unt

85

oc­tetTo­tal­Co­unt

20

post­MCast­Pac­ketDel­ta­Co­unt

171

pos­tOctet­To­tal­Co­unt

174

post­MCast­Pac­ketTo­tal­Co­unt

199

oc­tetTo­tal­Su­mOfS­qua­res

175

post­MCas­tOctet­To­tal­Co­unt

2

pac­ketDel­ta­Co­unt

218

tcpSyn­To­tal­Co­unt

24

post­Pac­ketDel­ta­Co­unt

219

tcpFin­To­tal­Co­unt

86

pac­ketTo­tal­Co­unt

220

tcpRstTo­tal­Co­unt

172

post­Pac­ketTo­tal­Co­unt

221

tcpPshTo­tal­Co­unt

132

drop­pe­dOc­tetDel­ta­Co­unt

222

tcpAck­To­tal­Co­unt

133

drop­pedPac­ketDel­ta­Co­unt

223

tcpUrg­To­tal­Co­unt

 

Раз­носто­рон­ние свой­ства по­тока

Ин­форма­ци­он­ные эле­мен­ты это­го раз­де­ла от­но­сят­ся к та­ким свой­ствам по­тока, как его на­чало, про­дол­жи­тель­ность, окон­ча­ние, но они не яв­ля­ют­ся вре­мен­ны­ми мет­ка­ми.

Таб­ли­ца 14

ID

На­име­нова­ние

ID

На­име­нова­ние

36

flo­wAc­ti­veTi­me­out

161

flow­Du­rati­on­Milli­seconds

37

flo­wId­le­Time­out

162

flow­Du­rati­on­Micro­seconds

136

flo­wEnd­Re­ason

61

flow­Di­rec­ti­on

До­пол­не­ние

Таб­ли­ца 15

ID

На­име­нова­ние

ID

На­име­нова­ние

210

pad­dingOc­tets

 

 

Как вид­но из при­веден­но­го вы­ше ма­тери­ала в IP­FIX про­токол по срав­не­нию с NetF­low вер­сии 9 до­бав­ле­но зна­читель­ное чис­ло ИЭ. Но да­леко не всег­да поль­зо­вате­лю нуж­ны все эти ИЭ. И, ес­тест­вен­но, что ес­ли обо­рудо­вание бу­дет для экс­пор­тных за­писей фор­ми­ровать весь воз­можный пе­речень ИЭ, тем боль­шие наг­рузки на про­цес­сор и па­мять это­го обо­рудо­вания бу­дут тре­бовать­ся для этой це­ли. Кро­ме это­го бу­дут за­нимать­ся до­пол­ни­тель­ные се­тевые ре­сур­сы для пе­реда­чи экс­пор­тных за­писей на кол­лектор. По­это­му, ес­ли обо­рудо­вание поз­во­ля­ет выб­рать не­об­хо­димый пе­речень по­лей, то сто­ит вос­поль­зо­вать­ся этой воз­можность и за­дать толь­ко те, ко­торые вам не­об­хо­димы.

Су­щест­ву­ют и дру­гие спо­собы умень­шить объем об­ра­баты­ва­емой ин­форма­ции о по­токах и, со­от­ветс­твен­но, объем пе­реда­ва­емой по се­ти IP­FIX ин­форма­ции. Та­кими спо­соба­ми яв­ля­ют­ся вы­бор­ки, филь­тра­ция (опи­сыва­емые в RFC 5473-5475) и аг­ре­гация. По аг­ре­гации су­щест­ву­ет по­ка лишь про­ект стан­дарта [8].

 

При­ложе­ния на ос­но­ве IP­FIX

Ком­па­ния "Софт Пи Ай" мо­жет пред­ло­жить свои прог­рамм­ные про­дук­ты, пост­ро­ен­ные на ос­но­ве IP­FIX про­токо­ла:

 

1. Бил­линго­вая сис­те­ма Ta­ris­co­pe

Ta­ris­co­pe со­дер­жит NetF­low кол­лектор, обес­пе­чива­ющий сбор ин­форма­ции о се­тевых по­токах на ос­но­ве про­токо­лов IP­FIX, NetF­low и rFlow для уче­та ис­поль­зу­емых се­тевых ре­сур­сов. NetF­low кол­лектор ра­бота­ет, как служ­ба опе­раци­он­ной сис­те­мы Win­dows. Эк­ран наст­рой­ки па­рамет­ров этой служ­бы по­казан на ри­сун­ке 2.

NetF­low кол­лектор ра­бота­ет толь­ко че­рез UDP порт. Но­мер пор­та мо­жет наст­ра­ивать­ся.   Име­ет­ся воз­можность за­писи "сы­рого" по­тока IP­FIX дан­ных в файл, что поз­во­ля­ет при не­об­хо­димос­ти пов­торно пе­ре­об­ра­ботать дан­ные.

Для умень­ше­ния объема ба­зы дан­ных, что яв­ля­ет­ся су­щест­вен­ным при боль­шом чис­ле або­нен­тов, кол­лектор поз­во­ля­ет аг­ре­риро­вать дан­ные IP­FIX про­токо­ла до уров­ня IP се­тей.

В наст­рой­ке кол­лекто­ра име­ет­ся воз­можность за­дания ре­жима та­рифи­кации: в ре­жиме ре­аль­но­го вре­мени или по ини­ци­ати­ве ад­ми­нист­ра­тора сис­те­мы.

Для уче­та ра­боты NetF­low кол­лекто­ра мож­но за­дать раз­личные уров­ни про­токо­лиро­вания, что при не­об­хо­димос­ти мо­жет поз­во­лить вы­явить ка­кие-ли­бо проб­ле­мы.

Бил­линго­вая сис­те­ма Ta­ris­co­pe обес­пе­чива­ет ве­дение еди­ного сче­та для або­нен­та, как по ус­лу­гам дос­ту­па к ин­тернет, так и за ус­лу­ги те­лефо­нии или ка­кие-ли­бо дру­гие ус­лу­ги свя­зи.

Бо­лее под­робную ин­форма­цию по бил­линго­вому комп­лек­су Ta­ris­co­pe, а так­же его три­ал-вер­сию мож­но по­лучить на сай­те:http://www.ta­ris­co­pe.com

 

РИСУНОК 2

2. Soft­PI NetF­low Col­lector

Soft­PI NetF­low Col­lector предс­тав­ля­ет со­бой кол­лектор, обес­пе­чива­ющий сбор IP­FIX или NetF­low (вер­сии 5 или 9) про­токо­лов в ба­зу дан­ный Mis­co­soft SQL или MySQL сер­ве­ров (ри­сунок 3).

РИСУНОК 3

Для оп­ти­маль­но­го ис­поль­зо­вания дис­ко­вого прост­ранс­тва, ис­поль­зу­емо­го ба­зой дан­ных Soft­PI NetF­low­Collec­tor, поль­зо­ватель мо­жет ука­зать для сох­ра­нения в этой ба­зе дан­ных, толь­ко не­об­хо­димых ему по­лей. Кро­ме это­го мож­но выб­рать так­же аг­ре­гацию дан­ных по це­лому ря­ду па­рамет­ров. Под­робную ин­форма­цию по Soft­PI NetF­low­Collec­tor мож­но по­лучить на сай­те: http://www.soft­pi­ua.com/ru/pro­ducts/soft­pi/netf­low-col­lector.html

 

Ли­тера­тура

1. Что та­кое NetF­low. http://soft­pi.com.ua/fi­les/what_is_NetF­low.pdf

2. RFC 2975. B. Abo­ba, J. Ark­ko, D. Har­ring­ton. Int­ro­duc­ti­on to Ac­co­un­ting Ma­nage­ment.

3. NN48500-595. Ava­ya Et­hernet Ro­uting Switch 4500, 5000, 8300, 8600. IP­FIX Tech­ni­cal Con­fi­gura­ti­on Gu­ide. 2010.

4. NN47200-505. Nor­tel Et­hernet Ro­uting Switch 5000 Se­ri­es. Configu­rati­on — Sys­tem Mo­nito­ring. Re­le­ase 6.2. 2010

5. RFC 5477. T. Di­etz, B. Cla­ise, P. Ait­ken, F. Dress­ler, G. Car­le. In­forma­ti­on Mo­del for Pac­ket Samp­ling Ex­ports.

6. Что та­кое RA­DI­US. http://www.soft­pi.com.ua/ru/soft­pi-ra­di­us/what-is-ra­di­us.html

7. RFC 3954. B. Cla­ise, Ed. Cis­co Sys­tems NetF­low Ser­vi­ces Ex­port Ver­si­on 9.

8. In­ternet-Draft. F. Dress­ler, C. Som­mer,   Univ. Er­langen, G. Mu­enz, Univ. Tu­ebin­gen, A. Ko­ba­yas­hi, NTT PF Lab. IP­FIX Flow Agg­re­gati­on.

Soft­PI,

В.В. Пи­тутин.