Мониторинг трафика в NetFlow
NetFlow – технология и сетевой протокол для снятия сетевой статистики с сетевых интерфесов маршрутизаторов. Этот протокол был разработан Cisco и является де-факто промышленным стандартом, поддерживаемым сетевым оборудованием Cisco, Juniper и Unix-подобными системами.
Данное решение для мониторинга собирает не только статистику трафика, но также фиксирует полные потоки пакетов, включая IP-адреса источника, назначения и номера портов.
Архитектура NetFlow
Мониторинг потока с использованием NetFlow состоит из трёх основных компонентов:
- Сенсор / экспортер
Маршрутизатор, который собирает статистику по проходящему через него трафику и отправляет коллектору по протоколу NetFlow.
- Коллектор
Хранение полученных данных и предоставление их анализатору.
- Анализатор
Анализирует собранные коллектором данные и формирует, пригодные для чтения человеком, отчёты (часто, в виде графиков).
Элементы диаграммы |
|
Анализатор |
NetFlow-анализатор Insight |
Коллектор |
Сбор и предварительная обработка данных |
БД |
Хранилище данных коллектора |
Сенсор |
Сбор информации о трафике и экспорт в Коллектор |
Поддерживаемые версии
TING поддерживает обе версии Netflow: v5 (IPv4) и v9 (IPv4 + IPv6).
Основы NetFlow
Для анализа потоковых даных важно понимать разницу между входящим и исходящими потоками.
Потоком считается набор пакетов, проходящих в одном направлении и характеризуемых рядом параметров:
|
|
Когда сенсор определяет, что поток закончился, он отправляет информацию о потоке в коллектор. В зависимости от настроек, он также может периодически отправлять в коллектор информацию и о все еще идущих потоках.
Примечание
В среде FreeBSD, NetFlow реализован в виде модуля ядра ng_netflow (Netgraph) и по этой причине отличается быстрой работой с минимальными затратами (по сравнению с решениями вроде softflowd или pfflowd).
Входящий поток
Трафик, который направлен в брандмауэр (к нам).
Исходящий поток
Трафик, которых исходит из брандмауэра (от нас).
Входящий + исходящий = двойной учёт потока
Когда включены оба потока - как входящий, так и исходящий, трафик учитывается дважды из-за трансляции сетевых адресов (NAT), поскольку все пакеты, идущие в WAN из локальной сети LAN проходят сетевую трансляцию брандмауэра, таким образом, также создавая входящий поток.
Примечание
Если входящий трафик не интересует, TING предлагает возможность его фильтрации. При использовании прокси на одном устройстве, важно захватывать и входящие потоки - иначе весь прокси-трафик не будет виден. Недостатком такого решения будет то, что весь трафик, не проходящий через прокси, будет учитываться дважды - из-за упомянутого выше эффекта NAT.
NetFlow Exporter
Модуль TING NetFlow Exporter поддерживает назначение нескольких интерфейсов, фильтрацию входящего потока и множественные пункты назначения, включая захват внутреннего трафика для анализа в NetFlow Insight.
Ниже размещена форма настроек NetFlow, расположенной в :
Подробное описание настроек NetFlow Exporter находится на этой странице.
Анализ при помощи NetFlow Insight
TING предлагает NetFlow Analyzer со следующими возможностями:
Захват 5 уровней детализации:
Последние 2 часа, 30 секунд в среднем
Последние 8 часов, 5 минут в среднем
Последняя неделя, 1 час в среднем
Последний месяц, 24 часа в среднем
Последний год, 24 часа в среднем
Графическое представление потоков (наложенные, в виде потока и расширенный)
Наиболее популярные интерфейсы - и по IP и по портам
Полный объём входящего/исходящего трафика в пакетах и байтах
Детализированный обзор с временным выбором и фильтром по портам/IP (до 2-х месяцев)
Экспорт данных в формат
.csvдля дальнейшого анализа в оффлайн-приложениях:Настраиваемый уровень детализации
Настраиваемый уровень разрешения
Настраиваемый диапазон времени
Форма вывода представлена ниже:
