Flujo de red (Protocolo de detección de flujo de datos de red)Con la actualización del sistema de software y la madurez del esquema de reparación de vulnerabilidades, el modo de ataque de virus que invade directamente el host para dañar se reduce gradualmente,y luego se convierte en el consumo malicioso de recursos de red limitados, causando congestión de la red, destruyendo así la capacidad del sistema para proporcionar servicios externos.La industria ha propuesto un método de detección de datos de red Flujo para juzgar anomalías y ataques de redAl detectar información del flujo de datos de la red en tiempo real,Los administradores de red pueden comprobar el estado de toda la red en tiempo real mediante la coincidencia del patrón histórico (para juzgar si es normal) o el patrón anormal (para juzgar si está siendo atacado)Detecta posibles cuellos de botella en el rendimiento de la red y maneja automáticamente o muestra alarmas para garantizar un funcionamiento eficiente y confiable de la red.
La tecnología Netflow fue inventada por primera vez por Darren Kerr y Barry Bruins de Cisco en 1996 y registrada como una patente estadounidense en mayo del mismo año.La tecnología Netflow se utiliza por primera vez en equipos de red para acelerar el intercambio de datos, y puede realizar la medición y las estadísticas del flujo de datos IP reenviados a alta velocidad.La función original de Netflow para la aceleración del intercambio de datos ha sido gradualmente reemplazada por chips ASIC dedicados en dispositivos de redSe ha convertido en el estándar de la industria más reconocido para el análisis del tráfico IP/MPLS.estadísticas y facturación en el ámbito de InternetLa tecnología Netflow puede analizar y medir el patrón de comportamiento detallado del tráfico de red IP/MPLS, y proporcionar estadísticas detalladas de la operación de la red.
El sistema de flujo neto consta de tres partes principales: el exportador, el recolector y el sistema de informes de análisis.
Exportador: monitorea los datos de redRecolector: se utiliza para recopilar datos de red exportados desde ExportadorAnálisis: se utiliza para analizar los datos de red recogidos del colector y generar informes.
Al analizar la información recopilada por Netflow, los administradores de red pueden conocer la fuente, el destino, el tipo de servicio de red de los paquetes y la causa de la congestión de la red.Puede que no proporcione un registro completo del tráfico de red como lo hace tcpdump, pero cuando se pone en conjunto es mucho más fácil de manejar y leer.
La salida de datos de red NetFlow de los enrutadores y switches consiste en flujos de datos vencidos y estadísticas detalladas del tráfico.Estos flujos de datos contienen la dirección IP asociada a la fuente y destino del paquete, así como el protocolo y el puerto utilizados por la sesión de extremo a extremo. Las estadísticas de tráfico incluyen la marca de tiempo del flujo de datos, las direcciones IP de origen y destino, los números de puerto de origen y destino,Números de interfaz de entrada y salida, direcciones IP del siguiente salto, bytes totales en el flujo, número de paquetes en el flujo, y sellos de tiempo del primer y último paquete en el flujo. y máscara frontal, número de paquete, etc.
Netflow V9 es un nuevo formato de salida de datos Netflow flexible y extensible con salida de estadísticas basadas en plantillas.como por ejemplo: Multicase Netflow, MPLS Aware Netflow, BGP Next Hop V9, Netflow para IPv6, y así sucesivamente.
En 2003, Netflow V9 también fue seleccionado como el estándar IPFIX (IP Flow Information Export) por el IETF entre cinco candidatos.
IPFIX (monitoreo del tráfico de la red)La tecnología basada en flujos se utiliza ampliamente en el campo de las redes, tiene un gran valor en el establecimiento de políticas de calidad de servicio, la implementación de aplicaciones y la planificación de capacidad.los administradores de red carecen de un formato estándar para los flujos de datos de salida. IPFIX (IP Flow Information Export, IP data flow information output) es un protocolo estándar para medir la información de flujo en redes publicado por el IETF.
El formato definido por IPFIX se basa en el formato de salida de datos Cisco Netflow V9, que estandariza las estadísticas y los estándares de salida de los flujos de datos IP.Es un protocolo para analizar las características del flujo de datos y los datos de salida en un formato basado en plantillasPor lo tanto, tiene una gran escalabilidad.Los administradores de red pueden modificar las configuraciones correspondientes sin actualizar el software del dispositivo de red o las herramientas de gestiónLos administradores de red pueden extraer y ver fácilmente las estadísticas de tráfico importantes almacenadas en estos dispositivos de red.
Para una salida más completa, IPFIX utiliza siete dominios clave de dispositivos de red por defecto para representar el tráfico de red por acción:
1. Dirección IP de origen2Dirección IP de destino3. Puerto fuente TCP/UDP4Puerto de destino TCP/UDP5Tipo de protocolo de la capa 36. El tipo de servicio (Tipo de servicio) byte7Introduzca una interfaz lógica.
Si los siete dominios clave en diferentes paquetes IP coinciden, los paquetes IP se consideran pertenecientes al mismo tráfico.como la duración del tráfico y la longitud promedio del paquete, se puede aprender sobre la aplicación de red actual, optimizar la red, detectar la seguridad, y cargar el tráfico.
Arquitectura de red IPFIXPara resumir, IPFIX se basa en el concepto de flujo. Un flujo se refiere a los paquetes de la misma subinterfaz con la misma fuente y destino dirección IP, tipo de protocolo,número del puerto de origen y destinoIPFIX registra estadísticas sobre el flujo, incluida la marca de tiempo, el número de paquetes y el número total de bytes. IPFIX consta de tres dispositivos:ExportadorLas relaciones entre los tres dispositivos son las siguientes:
La exportación analiza los flujos de red, extrae estadísticas de flujo calificadas y envía las estadísticas a Collector.El colector analiza los paquetes de datos de exportación y recopila estadísticas en la base de datos para su análisis por el analizador.El analizador extrae estadísticas del colector, realiza un procesamiento posterior y muestra las estadísticas como una interfaz gráfica para varios servicios.
Escenarios de aplicación de IPFIXContabilidad basada en el usoLa facturación del tráfico en los operadores de red se basa generalmente en el tráfico de carga y descarga de cada usuario.la futura tarifación del tráfico puede segmentarse en función de las características del servicio de aplicaciónPor supuesto, el protocolo también explica que las estadísticas de paquetes IPFIX se "muestran". En muchas aplicaciones (como la capa de columna vertebral), cuanto más detalladas sean las estadísticas de flujo de datos, mejor.Debido al rendimiento de los dispositivos de red, la tasa de muestreo no puede ser demasiado pequeña, por lo que no es necesario proporcionar una facturación del tráfico completamente precisa y fiable.la unidad de facturación es generalmente superior a 100 megabits, y la exactitud de muestreo de IPFIX puede satisfacer las necesidades pertinentes.
Profilación del tráfico, ingeniería del tráficoLa salida de registros de IPFIX Exporter, IPFIX Collector puede producir información muy rica de registros de tráfico en forma de varios gráficos, este es el concepto de perfil de tráfico.
Sin embargo, sólo el registro de la información, no puede aprovechar la poderosa función de IPFIX, IETF también lanzó el concepto de ingeniería de tráfico: en el funcionamiento real de la red,Balanceamiento de carga a menudo planificado y respaldo redundante, pero los distintos protocolos son generalmente de acuerdo con la ruta predeterminada de la planificación de la red, o se ajustan los principios del protocolo.Si se utiliza IPFIX para controlar el tráfico en la red y se encuentra una gran cantidad de datos en un cierto período de tiempo, se puede informar al administrador de red para que ajuste el tráfico, de modo que se pueda asignar más ancho de banda de la red a las aplicaciones relacionadas para reducir la carga desigual.Puede vincular las reglas de configuración, como el ajuste de rutas, la asignación de ancho de banda y las políticas de seguridad, a las operaciones en el colector IPFIX para ajustar automáticamente el tráfico de red.
Detección de ataque/intrusiónIPFIX puede detectar ataques de red basados en las características del tráfico. Por ejemplo, escaneo IP típico, escaneo de puertos, ataques DDOS.El protocolo IPFIX estándar de muestreo también puede utilizar una actualización de la "base de datos de firmas" para bloquear los últimos ataques de red, al igual que la protección general del virus del lado del huésped.
Monitoreo de la calidad de servicio de la red (QoS)Los parámetros típicos de QoS son:
Condición de pérdida de paquetes: pérdida [RFC2680]el retraso en sentido único: retraso en sentido único [RFC2679]el retraso de ida y vuelta: retraso de ida y vuelta [RFC2681]Variación de retraso [RFC3393]Las tecnologías anteriores son difíciles de monitorear la información anterior en tiempo real, pero los varios campos personalizados de IPFIX y los intervalos de monitoreo pueden monitorear fácilmente los valores anteriores de varios mensajes.
Aquí hay una tabla ampliada que proporciona más detalles sobre las diferencias entre NetFlow e IPFIX: