4. NetFlow протоколи таҳлили
NetFlow - Cisco томонидан тармоқда трафик мониторинги учун ишлаб
чиқилган очиқ истиқболли протоколдир. Netflow ҳар бир TCP/IP транзакция
ҳақида ёзиб олиб тармоқ трафигини таҳлил қилиш имконини беради.
Расм 20.3. NetFlow архитектураси тузилиши
Тизимнинг архитектураси сенсор, коллектор ва анализаторга асосланади:
- Сенсор ўзи орқали ўтган трафик бўйича статистика йиғади. Сенсорларни
“узел нуқталари” да, масалан, тармоқ сегментлари маршрутизаторлари
чегарасида қўйиш самаралидир.
- Коллектор сенсорлардан маълумотларни йиғади. Қабул қилинган
файлларни у кейинчалик ишлов бериш учун файлга ташлайди. Турли
коллекторлар маълумотларни турли форматларда сақлайди.
- Анализатор, ёки қайта ишлаш тизими бу файлларни ҳисоблайди ва
ҳисоботларни одамларга қулай шаклда генерировка қилади. Бу тизим коллектор
тақдим қилган маълумотлар билан киришиши керак. Замонавий тизимларда
коллектор ва анализатор бир ситемага бирлаштирилган.
Одатда коллектор ва анализатор серверда ишловчи битта дастур комплекси
қисмлари ҳисобланади. ПО коллектор/анализатор турлари жуда кўп - пулли ва
бепул, Windows ва Unix-тизимлари га асосланган.
Таъкидлаш жоизки, коллектор ва унинг орқасида жойлашган анализатор
тизимнинг пассив элементлари ҳисобланади. Моҳиятан, сервер кўтарилган
бўлса, мониторингга ва серверга тушадиган қурилмаларни қўлда қўшишимиз
шарт эмас. Сенсор ҳисоботларни юборади, коллектор уларни қабул қилади,
анализатор рўйхатдан ўтказади. Агар сенсор ўчирилган бўлса, у жорий онлайн-
статистикадан йўқолиб қолади.
NetFlow трафик коллектори тўғрисидаги маълумотларни юбориш учун
UDP ва SCTPдан фойдаланади. Одатда, коллектор 2055, 9555 ёки 9995 (ёки сиз
коллектор ва сенсор қурилмасида кўрсатадиган) портларини тинглайди.
Сенсор қуйидаги параметрлар билан характерланадиган трафикдан ўтаётган
оқимларни ажратади:
1. Манба манзили;
2. Топшириқ манзили;
3. UDP ва TCP манзил порт;
4. UDP ва TCP учун порт топшириғи;
5. ICMP учун хабар коди ва тури;
6. IP протокол рақами;
4. Тармоқ интерфейс (ifindex SNMP параметр);
5. IP Type of Service.
NetFlow - CiscoSystems компанияси томонидан ишлаб чиқилган тармоқ
трафигини ҳисоблаш учун мўлжалланган тармоқ протоколидир. Асосланган
саноат стандарти ҳисобланади ва нафақат Cisco қурилмаси томонидан, балки
бошқа
кўплаб
қурилмалар
томонидан
қўллаб
қувватланади
(хусусан, Juniper, MikroTik ва Enterasys). Шунингдек, . UNIX га ўхшагаи
тизимлар учун мустақил реализациялар ҳам мавжуд. Протокотнинг бир неча
версиялари мавжуд бўлиб, 2011-йилда 5 ва 9 версиялари кенг тарқалди. 9 версия
асосида, шунингдек IPFIX (InternetProtocolFlowInformationeXport IP оқимлари
тўғрисида экспорт информацияси ).
Оқим деб - бир йўналишда ўтадиган пакетлар тўпламига айтилади. Сенсор
оқим тугаганини аниқлаганда, (пакет параметрлари ўзгаргани ёки TCP - сессия
ишдан чиқиши билан) у маълумотни коллекторга юборади. Қурилмаларга боғлиқ
тарзда, у, шунингдек, коллекторга ҳалиям давом этаётган оқимлар ҳақидаги
маълумотни вақти-вақти билан юбориши мумкин. Бу жуда муҳимдир – сенсор
ққурилмасида биз қайси параметрлар бўйича юборилган маълумот ҳисоботларда
бирлаштирилишини қарор қиламиз.
Протокол рақами версияи;
1. Ёзиб олиш рақами;
2. Кирувчи ва чиқувчи тармоқ интерфейси;
3. Оқим бошланиши ва тугаши вақти;
4. Оқимда байт ва пакетлар миқдори;
5. Манба ва топшириқ манзили;
6. Манба ва топшириқ манзили;
7. IP протоколи рақами;
8. Type of Service миқдори;
9. TCP-боғланишлар учун — флага боғланиши давомидаги барча
кузатувлар;
10.
Шлюза манзили;
11.
Манба ва топшириқ манзили.
Агар сенсор сифатида тармоқ қурилмаси келса, NetFlow ресурсларини
тежаш мақсадида асосий статистика йиғишни исталган интерфейслар учун
қўшилади.
Процессор ресурсларини тежаш мақсадида, шунингдек «sampledNetFlow»
қўлланилади. Бундай вазиятда сенсор ҳамма эмас, балки ҳар бир n-пакетни
таҳлил қилади, бунда n административ ёки тасодифий тарзда белгиланган
бўлиши мумки. sampledNetFlow қўлланилганда олинган миқдорлар аниқ эмас,
баҳоловчи бўлади.
|