넷플로우 (네트워크 데이터 흐름 탐지 프로토콜)
소프트웨어 시스템 업그레이드와 취약점 수리 계획의 성숙과 함께, 바이러스 공격 모드가 직접적으로 호스트를 침범하여 피해를 입는 것이 점차 감소합니다.그리고 제한된 네트워크 자원의 악의적인 소비로 돌립니다., 네트워크 혼잡을 일으켜 외부 서비스를 제공하는 시스템의 능력을 파괴합니다.업계는 네트워크 데이터 탐지 방법을 제안했습니다. 네트워크 이상과 공격을 판단하는 흐름네트워크 데이터 흐름 정보를 실시간으로 감지함으로써네트워크 관리자는 전체 네트워크의 상태를 실시간으로 확인할 수 있습니다. 역사적 패턴 (정상적인지 판단하기 위해) 또는 비정상적인 패턴 (공격당한지 판단하기 위해) 과 일치함으로써네트워크 성능의 가능한 병목을 감지하고 효율적이고 신뢰할 수있는 네트워크 운영을 보장하기 위해 자동으로 처리 또는 경보 표시.
넷플로우 기술은 1996년 시스코의 다렌 케어와 배리 브루인스에 의해 처음 발명되었으며 같은 해 5월에 미국 특허로 등록되었습니다.넷플로우 기술은 데이터 교환을 가속화하기 위해 네트워크 장비에 처음 사용됩니다., 고속 IP 전송 데이터 흐름의 측정 및 통계를 실현 할 수 있습니다.데이터 교환 가속을 위한 Netflow의 원래 기능은 네트워크 장치의 전용 ASIC 칩으로 점차 대체되었습니다., 네트워크 장치를 통해 IP 데이터 흐름의 측정 및 통계 기능을 여전히 유지. 그것은 IP / MPLS 트래픽 분석에 대한 가장 인정 된 산업 표준이되었습니다.인터넷 분야에서 통계 및 청구네트워크 흐름 기술은 IP/MPLS 네트워크 트래픽의 상세한 행동 패턴을 분석하고 측정할 수 있으며 네트워크 운영에 대한 상세한 통계를 제공합니다.
네트워크 흐름 시스템은 세 가지 주요 부분으로 구성됩니다: 수출자, 수집자 및 분석 보고 시스템.
수출자: 네트워크 데이터를 모니터링합니다.
수집자: 수출자에서 수출된 네트워크 데이터를 수집하는 데 사용됩니다.
분석: 수집자로부터 수집된 네트워크 데이터를 분석하고 보고서를 생성하는 데 사용됩니다.
넷플로우에 의해 수집된 정보를 분석함으로써 네트워크 관리자는 소스, 목적지, 네트워크 서비스 유형의 패킷 및 네트워크 혼잡의 원인을 알 수 있습니다.그것은 tcpdump처럼 네트워크 트래픽의 완전한 기록을 제공하지 않을 수 있습니다, 하지만 함께 하면 훨씬 더 쉽게 관리하고 읽을 수 있습니다.
라우터와 스위치의 NetFlow 네트워크 데이터 출력은 만료된 데이터 흐름과 상세한 트래픽 통계로 구성됩니다.이 데이터 흐름은 파켓의 출처와 목적지와 연관된 IP 주소를 포함합니다., 그리고 end-to-end 세션에서 사용되는 프로토콜과 포트. 트래픽 통계에는 데이터 흐름 시간표, 소스 및 목적 IP 주소, 소스 및 목적 포트 번호가 포함됩니다.입력 및 출력 인터페이스 번호, 다음 홉 IP 주소, 흐름에 있는 전체 바이트, 흐름에 있는 패킷의 수, 그리고 흐름에 있는 첫 번째와 마지막 패킷의 시간 스탬프. 그리고 앞 마스크, 패킷 번호, 등
넷플로우 V9는 템플릿 기반 통계 출력으로 새로운 유연하고 확장 가능한 넷플로우 데이터 출력 형식입니다. 출력해야 하는 데이터 필드를 쉽게 추가하고 다양한 새로운 기능을 지원합니다.예를 들어: 멀티 케이스 넷플로우, MPLS 아워드 넷플로우, BGP 다음 홉 V9, IPv6의 넷플로우 등
2003년, 넷플로우 V9는 또한 5명의 후보자 중에서 IETF에 의해 IPFIX (IP 흐름 정보 수출) 표준으로 선택되었다.
IPFIX (네트워크 트래픽 모니터링)
흐름 기반 기술은 네트워크 분야에서 널리 사용되고 있으며, QoS 정책 설정, 애플리케이션 배포 및 용량 계획에서 큰 가치를 가지고 있습니다.네트워크 관리자는 출력 데이터 스트림에 대한 표준 형식이 없습니다.IPFIX (IP 흐름 정보 수출, IP 데이터 흐름 정보 출력) 는 IETF에 의해 발행된 네트워크에서 흐름 정보를 측정하는 표준 프로토콜이다.
IPFIX에 의해 정의된 형식은 IP 데이터 흐름의 통계 및 출력 표준을 표준화하는 Cisco Netflow V9 데이터 출력 형식을 기반으로합니다.그것은 템플릿 기반 형식으로 데이터 흐름 특성을 분석하고 출력 데이터를 위한 프로토콜입니다.따라서, 그것은 강한 확장성을 가지고 있습니다. 교통 모니터링 요구 사항이 변경되면,네트워크 관리자는 네트워크 장치 소프트웨어 또는 관리 도구를 업그레이드하지 않고 해당 구성을 수정할 수 있습니다.네트워크 관리자는 이러한 네트워크 장치에 저장된 중요한 트래픽 통계를 쉽게 추출하고 볼 수 있습니다.
보다 완전한 출력을 위해 IPFIX는 네트워크 장치의 7개의 주요 도메인을 기본으로 사용하여 공유당 네트워크 트래픽을 나타냅니다.
1. 출처 IP 주소
2. 목적지 IP 주소
3TCP/UDP 소스 포트
4TCP/UDP 목적 포트
5레이어 3 프로토콜 타입
6. 서비스의 종류 (서비스의 종류) 바이트
7논리 인터페이스를 입력합니다.
다른 IP 패킷에 있는 모든 7개의 핵심 도메인이 일치하면, IP 패킷은 동일한 트래픽에 속한다고 간주됩니다. 네트워크에서 트래픽의 특성을 기록함으로써,트래픽 기간과 평균 패킷 길이가, 현재 네트워크 애플리케이션에 대해 배우고, 네트워크를 최적화하고, 보안을 감지하고, 트래픽을 충전할 수 있습니다.
IPFIX 네트워크 아키텍처
요약하자면, IPFIX는 흐름의 개념을 기반으로 합니다. 흐름은 동일한 하위 인터페이스에서 동일한 소스 및 목적 IP 주소, 프로토콜 유형,출처항 및 목적항 번호IPFIX는 시간표, 패킷 수 및 전체 바이트 수를 포함한 스트림에 대한 통계를 기록합니다. IPFIX는 세 가지 장치로 구성됩니다.수출업자, 수집자, 분석기. 세 장치 사이의 관계는 다음과 같습니다:
엑스포트는 네트워크 흐름을 분석하고, 유통 통계를 추출하고, 통계를 콜렉터에 전송합니다.
수집자는 수출 데이터 패킷을 분석하고 분석자에 의해 분석을 위해 데이터베이스에 통계를 수집합니다.
분석기는 수집기에서 통계를 추출하고, 후속 처리를 수행하고, 다양한 서비스에 대한 GUI로 통계를 표시합니다.
IPFIX 적용 시나리오
사용 기준 회계
네트워크 사업자의 트래픽 청구서는 일반적으로 각 사용자의 업로드 및 다운로드 트래픽에 기반합니다. IPFIX가 목적 IP 주소, 프로토콜 포트 및 기타 필드에 정확 할 수 있기 때문에,미래의 교통 요금은 애플리케이션 서비스의 특성에 따라 세분화 될 수 있습니다.물론, 프로토콜은 또한 IPFIX 패킷 통계가 " 샘플링"된다는 것을 설명합니다. 많은 응용 프로그램 (주본 계층과 같이) 에서 데이터 흐름 통계가 더 상세하면 더 좋습니다.네트워크 장치의 성능으로 인해, 샘플링 비율은 너무 작을 수 없으므로 완전히 정확하고 신뢰할 수있는 트래픽 청구서를 제공하는 것이 필요하지 않습니다. 그러나 네트워크 운영자 수준에서,요금 단위는 일반적으로 100 메가 비트 이상입니다.IPFIX의 샘플링 정확도는 관련 필요를 충족시킬 수 있습니다.
교통 프로파일링, 교통 엔지니어링
IPFIX 수출자의 기록 출력, IPFIX 수집자는 다양한 차트 형태로 매우 풍부한 교통 기록 정보를 출력 할 수 있습니다. 이것이 교통 프로파일링의 개념입니다.
그러나, 단지 정보의 기록, IPFIX의 강력한 기능을 활용할 수 없습니다, IETF 또한 교통 공학의 개념을 출시: 네트워크의 실제 운영에서,종종 계획된 부하 균형 및 불필요한 백업, 그러나 다양한 프로토콜은 일반적으로 네트워크 계획의 미리 결정된 경로에 따라, 또는 프로토콜 원칙이 조정됩니다.IPFIX가 네트워크에서 트래픽을 모니터링하는 데 사용되고 많은 양의 데이터가 특정 기간 동안 발견되면, 네트워크 관리자에게 트래픽을 조정하도록 요청할 수 있습니다. 또한, 불평등한 부하를 줄이기 위해 더 많은 네트워크 대역폭을 관련 애플리케이션에 할당 할 수 있습니다.구성 규칙을 묶을 수 있습니다IPFIX 컬렉터에서 자동으로 네트워크 트래픽을 조정하기 위해 경로 조정, 대역폭 할당 및 보안 정책과 같은 작업에
공격/ 침입 탐지 공격/ 침입 탐지
IPFIX는 트래픽 특성에 따라 네트워크 공격을 탐지할 수 있습니다. 예를 들어, 전형적인 IP 스캔, 포트 스캔, DDOS 공격.샘플링 표준 IPFIX 프로토콜은 또한 최신 네트워크 공격을 차단하기 위해 "서명 데이터베이스" 업그레이드를 사용할 수 있습니다.일반적인 호스트 사이드 바이러스 보호와 마찬가지로
QoS 모니터링 (네트워크 서비스 품질 모니터링)
전형적인 QoS 매개 변수는 다음과 같습니다.
패킷 손실 조건: 손실 [RFC2680]
단방향 지연: 단방향 지연 [RFC2679]
정차 지연: 정차 지연 [RFC2681]
지연 변동 [RFC3393]
이전 기술에서는 위의 정보를 실시간으로 모니터링하는 것이 어렵지만 IPFIX의 다양한 사용자 지정 필드와 모니터링 간격은 다양한 메시지의 위의 값을 쉽게 모니터링 할 수 있습니다.
다음은 NetFlow와 IPFIX의 차이에 대한 더 자세한 정보를 제공하는 확장 테이블입니다.
