Netflow (Network Data Flow Detection Protocol)
Dengan peningkatan sistem perangkat lunak dan kematangan skema perbaikan kerentanan, mode serangan virus yang langsung menyerang host untuk kerusakan secara bertahap berkurang,dan kemudian beralih ke konsumsi berbahaya dari sumber daya jaringan terbatas, menyebabkan kemacetan jaringan, sehingga menghancurkan kemampuan sistem untuk menyediakan layanan eksternal.industri telah mengusulkan metode mendeteksi aliran data jaringan untuk menilai anomali jaringan dan seranganDengan mendeteksi informasi aliran data jaringan secara real time,pengelola jaringan dapat memeriksa status seluruh jaringan secara real time dengan mencocokkan pola historis (untuk menilai apakah itu normal) atau pola abnormal (untuk menilai apakah itu diserang)Mengidentifikasi kemungkinan kemacetan dalam kinerja jaringan, dan secara otomatis menangani atau menampilkan alarm untuk memastikan operasi jaringan yang efisien dan dapat diandalkan.
Teknologi netflow pertama kali ditemukan oleh Darren Kerr dan Barry Bruins dari Cisco pada tahun 1996 dan terdaftar sebagai paten AS pada Mei tahun yang sama.Teknologi netflow pertama kali digunakan dalam peralatan jaringan untuk mempercepat pertukaran data, dan dapat merealisasikan pengukuran dan statistik aliran data IP diteruskan kecepatan tinggi.fungsi asli Netflow untuk akselerasi pertukaran data telah secara bertahap digantikan oleh chip ASIC khusus dalam perangkat jaringan, sementara fungsi pengukuran dan statistik aliran data IP melalui perangkat jaringan masih dipertahankan.Statistik dan penagihan di bidang Internet. Teknologi netflow dapat menganalisis dan mengukur pola perilaku terperinci dari lalu lintas jaringan IP / MPLS, dan memberikan statistik terperinci dari operasi jaringan.
Sistem Netflow terdiri dari tiga bagian utama: Eksportir, Pengumpul, dan Sistem Pelaporan Analisis.
Eksportir: memantau data jaringan
Collector: Digunakan untuk mengumpulkan data jaringan yang diekspor dari Exporter
Analisis: Digunakan untuk menganalisis data jaringan yang dikumpulkan dari Collector dan menghasilkan laporan
Dengan menganalisis informasi yang dikumpulkan oleh Netflow, administrator jaringan dapat mengetahui sumber, tujuan, jenis layanan jaringan paket, dan penyebab kemacetan jaringan.Ini mungkin tidak memberikan catatan lengkap dari lalu lintas jaringan seperti tcpdump, tapi ketika disatukan jauh lebih mudah untuk mengelola dan membaca.
Output data jaringan NetFlow dari router dan switch terdiri dari aliran data yang telah kadaluarsa dan statistik lalu lintas terperinci.Aliran data ini berisi alamat IP yang terkait dengan sumber dan tujuan paket, serta protokol dan port yang digunakan oleh sesi end-to-end. statistik lalu lintas termasuk timestamp aliran data, sumber dan tujuan alamat IP, sumber dan tujuan port nomor,Nomor antarmuka input dan output, alamat IP hop berikutnya, total byte dalam aliran, jumlah paket dalam aliran, dan time stamp dari paket pertama dan terakhir dalam aliran. dan topeng depan, nomor paket, dll
Netflow V9 adalah format output data Netflow yang fleksibel dan dapat diperluas dengan output statistik berbasis templat.seperti: Multicase Netflow, MPLS Aware Netflow, BGP Next Hop V9, Netflow untuk IPv6, dan sebagainya.
Pada tahun 2003, Netflow V9 juga dipilih sebagai standar IPFIX (IP Flow Information Export) oleh IETF dari lima kandidat.
IPFIX (Pengamatan Lalu Lintas Jaringan)
Teknologi berbasis aliran banyak digunakan di bidang jaringan, memiliki nilai besar dalam pengaturan kebijakan QoS, penyebaran aplikasi dan perencanaan kapasitas.administrator jaringan tidak memiliki format standar untuk aliran data output. IPFIX (IP Flow Information Export, IP data flow information output) adalah protokol standar untuk mengukur informasi aliran di jaringan yang diterbitkan oleh IETF.
Format yang didefinisikan oleh IPFIX didasarkan pada format output data Cisco Netflow V9, yang menstandarisasi statistik dan standar output aliran data IP.Ini adalah protokol untuk menganalisis karakteristik aliran data dan data output dalam format berbasis templateOleh karena itu, ia memiliki skalabilitas yang kuat.administrator jaringan dapat memodifikasi konfigurasi yang sesuai tanpa meningkatkan perangkat lunak perangkat jaringan atau alat manajemen. Administrator jaringan dapat dengan mudah mengekstrak dan melihat statistik lalu lintas penting yang disimpan di perangkat jaringan ini.
Untuk hasil yang lebih lengkap, IPFIX menggunakan tujuh domain utama perangkat jaringan secara default untuk mewakili lalu lintas jaringan per saham:
1. Alamat IP sumber
2. Alamat IP tujuan
3. TCP/UDP port sumber
4. TCP/UDP tujuan port
5. Tipe protokol lapisan 3
6. Jenis layanan (Jenis layanan) byte
7Masukkan antarmuka logis
Jika semua tujuh domain kunci dalam paket IP yang berbeda cocok, paket IP dianggap sebagai milik lalu lintas yang sama.seperti durasi lalu lintas dan panjang rata-rata paket, Anda dapat belajar tentang aplikasi jaringan saat ini, mengoptimalkan jaringan, mendeteksi keamanan, dan mengisi lalu lintas.
Arsitektur jaringan IPFIX
Untuk meringkas, IPFIX didasarkan pada konsep Flow. Flow mengacu pada paket dari subinterface yang sama dengan alamat IP sumber dan tujuan yang sama, jenis protokol,Nomor pelabuhan sumber dan tujuanIPFIX mencatat statistik tentang aliran, termasuk timestamp, jumlah paket, dan jumlah total byte. IPFIX terdiri dari tiga perangkat:EksportirHubungan antara tiga perangkat adalah sebagai berikut:
Ekspor menganalisis aliran jaringan, mengekstrak statistik aliran yang memenuhi syarat, dan mengirim statistik ke Collector.
Collector menganalisis paket data Ekspor dan mengumpulkan statistik dalam database untuk dianalisis oleh Analyzer.
Analyzer mengekstrak statistik dari Collector, melakukan pemrosesan berikutnya, dan menampilkan statistik sebagai GUI untuk berbagai layanan.
Skenario aplikasi IPFIX
Akuntansi berbasis penggunaan
Penagihan lalu lintas di operator jaringan umumnya didasarkan pada lalu lintas upload dan download dari setiap pengguna.Biaya lalu lintas di masa depan dapat dibagi berdasarkan karakteristik layanan aplikasi. Tentu saja, protokol juga menjelaskan bahwa statistik paket IPFIX "dicontohkan". Dalam banyak aplikasi (seperti lapisan tulang belakang), semakin rinci statistik aliran data, semakin baik.Karena kinerja perangkat jaringan, tingkat pengambilan sampel tidak bisa terlalu kecil, sehingga tidak perlu menyediakan penagihan lalu lintas yang benar-benar akurat dan dapat diandalkan.unit penagihan umumnya lebih dari 100 megabits, dan akurasi pengambilan sampel IPFIX dapat memenuhi kebutuhan yang relevan.
Profil Lalu Lintas, Teknik Lalu Lintas
Output rekaman IPFIX Exporter, IPFIX Collector dapat menghasilkan informasi rekaman lalu lintas yang sangat kaya dalam bentuk berbagai grafik, ini adalah konsep Profil Lalu Lintas.
Namun, hanya catatan informasi, tidak dapat mengambil keuntungan dari fungsi yang kuat dari IPFIX, IETF juga meluncurkan konsep Traffic Engineering: dalam operasi sebenarnya jaringan,sering direncanakan load balancing dan cadangan redundant, tetapi berbagai protokol umumnya sesuai dengan rute yang telah ditentukan sebelumnya dari perencanaan jaringan, atau prinsip protokol disesuaikan.Jika IPFIX digunakan untuk memantau lalu lintas di jaringan dan sejumlah besar data ditemukan dalam jangka waktu tertentu, administrator jaringan dapat dilaporkan untuk menyesuaikan lalu lintas, sehingga lebih banyak bandwidth jaringan dapat dialokasikan untuk aplikasi terkait untuk mengurangi beban yang tidak merata.Anda dapat mengikat aturan konfigurasi, seperti penyesuaian rute, alokasi bandwidth, dan kebijakan keamanan, untuk operasi pada IPFIX Collector untuk menyesuaikan lalu lintas jaringan secara otomatis.
Serangan/Deteksi Penembakan Serangan/Deteksi Penembakan
IPFIX dapat mendeteksi serangan jaringan berdasarkan karakteristik lalu lintas.Protokol IPFIX standar sampling juga dapat menggunakan upgrade "database tanda tangan" untuk memblokir serangan jaringan terbaru, sama seperti perlindungan virus tuan rumah umum.
Pemantauan QoS (Pemantauan Kualitas Layanan Jaringan)
Parameter QoS khas adalah:
Kondisi kehilangan paket: kehilangan [RFC2680]
Delay satu arah: Delay satu arah [RFC2679]
Penundaan perjalanan pulang: penundaan perjalanan pulang [RFC2681]
perubahan keterlambatan [RFC3393]
Teknologi sebelumnya sulit untuk memantau informasi di atas secara real time, tetapi berbagai bidang kustom IPFIX dan interval pemantauan dapat dengan mudah memantau nilai di atas dari berbagai pesan.
Berikut adalah tabel yang diperluas yang memberikan lebih banyak rincian tentang perbedaan antara NetFlow dan IPFIX:
