Мониторинг трафика в NetFlow
NetFlow – технология и сетевой протокол для снятия сетевой статистики с сетевых интерфейсов маршрутизаторов. Этот протокол был разработан Cisco и является де-факто промышленным стандартом, поддерживаемым сетевым оборудованием Cisco, Juniper и Unix-подобными системами.
Данное решение для мониторинга собирает не только статистику трафика, но также фиксирует полные потоки пакетов, включая IP-адреса источника, назначения и номера портов.
Архитектура NetFlow
Мониторинг потока с использованием NetFlow состоит из трёх основных компонентов:
- Сенсор / экспортер
Маршрутизатор, который собирает статистику по проходящему через него трафику и отправляет коллектору по протоколу NetFlow.
- Коллектор
Хранение полученной информации в базе данных и предоставление их анализатору.
- Анализатор (NetFlow-анализатор Insight)
Анализирует собранные коллектором данные и формирует, пригодные для чтения человеком, отчёты (часто, в виде графиков).
Поддерживаемые версии
TING поддерживает обе версии Netflow: v5 (IPv4) и v9 (IPv4 + IPv6).
Основы NetFlow
Для анализа потоковых данных важно понимать разницу между входящим и исходящими потоками.
Потоком считается набор пакетов, проходящих в одном направлении и характеризуемых рядом параметров:
IP-адрес источника
IP-адрес назначения
порт источника
порт назначения
тип и код сообщения
номер протокола IP
сетевой интерфейс
прочие параметры
Когда сенсор определяет, что поток закончился, он отправляет информацию о потоке в коллектор. В зависимости от настроек, он также может периодически отправлять в коллектор информацию и о всё ещё идущих потоках.
Примечание
В среде FreeBSD, NetFlow реализован в виде модуля ядра ng_netflow (Netgraph) и по этой причине отличается быстрой работой с минимальными затратами (по сравнению с решениями вроде softflowd или pfflowd).
Входящий поток
Трафик, который направлен в брандмауэр (к нам).
Исходящий поток
Трафик, которых исходит из брандмауэра (от нас).
Входящий + исходящий = двойной учёт потока
Когда включены оба потока - как входящий, так и исходящий, трафик учитывается дважды из-за трансляции сетевых адресов (NAT), поскольку все пакеты, идущие в WAN из локальной сети LAN проходят сетевую трансляцию брандмауэра, таким образом, также создавая входящий поток.
Примечание
Если входящий трафик не интересует, TING предлагает возможность его фильтрации. При использовании прокси на одном устройстве, важно захватывать и входящие потоки - иначе весь прокси-трафик не будет виден. Недостатком такого решения будет то, что весь трафик, не проходящий через прокси, будет учитываться дважды - из-за упомянутого выше эффекта NAT.
NetFlow Exporter
Модуль TING NetFlow Exporter поддерживает назначение нескольких интерфейсов, фильтрацию входящего потока и множественные пункты назначения, включая захват внутреннего трафика для анализа в NetFlow Insight.
Ниже размещена форма настроек NetFlow, расположенной в :
Подробное описание настроек NetFlow Exporter находится на этой странице.
Анализ при помощи NetFlow Insight
TING предлагает NetFlow Analyzer со следующими возможностями:
Захват 5 уровней детализации:
Последние 2 часа, 30 секунд в среднем
Последние 8 часов, 5 минут в среднем
Последняя неделя, 1 час в среднем
Последний месяц, 24 часа в среднем
Последний год, 24 часа в среднем
Графическое представление потоков (наложенные, в виде потока и расширенный)
Наиболее популярные интерфейсы - и по IP и по портам
Полный объём входящего/исходящего трафика в пакетах и байтах
Детализированный обзор с временным выбором и фильтром по портам/IP (до 2-х месяцев)
Экспорт данных в формат
.csvдля дальнейшего анализа в оффлайн-приложениях:Настраиваемый уровень детализации
Настраиваемый уровень разрешения
Настраиваемый диапазон времени
Форма вывода представлена ниже:
