تدفق الشبكة (بروتوكول اكتشاف تدفق البيانات في الشبكة)
مع تحديث نظام البرمجيات و نضوج خطة إصلاح الضعف، يتم تقليل وضع هجوم الفيروسات الذي يغزو مباشرة المضيف للضرر تدريجيا،ثم يتحول إلى استهلاك خبيث لموارد الشبكة المحدودة، مما يسبب ازدحام الشبكة، وبالتالي تدمير قدرة النظام على توفير الخدمات الخارجية.وقد اقترحت الصناعة طريقة للكشف عن بيانات الشبكة تدفق لحكم شذوذ الشبكة والهجماتمن خلال اكتشاف معلومات تدفق البيانات في الوقت الحقيقييمكن لمديري الشبكة التحقق من حالة الشبكة بأكملها في الوقت الفعلي من خلال مطابقة النمط التاريخي (حكم ما إذا كان طبيعيا) أو النمط غير الطبيعي (حكم ما إذا كان هوجم)- اكتشاف اختناقات محتملة في أداء الشبكة، وتعامل تلقائيًا أو عرض إنذار لضمان تشغيل شبكة فعال وموثوق به.
تم اختراع تكنولوجيا تدفق الشبكة لأول مرة من قبل دارين كير وباري بروانز من سيسكو في عام 1996 وتم تسجيلها كباتينت أمريكية في مايو من نفس العام.تستخدم تكنولوجيا التدفق الشبكي لأول مرة في معدات الشبكة لتسريع تبادل البيانات، ويمكن أن تدرك قياس وإحصاءات تدفق البيانات IP عالية السرعة. بعد سنوات من التطور التكنولوجي،تم استبدال الوظيفة الأصلية لـ Netflow لتسريع تبادل البيانات تدريجياً بشرائح ASIC مخصصة في أجهزة الشبكة، في حين أن وظيفة قياس وإحصاء تدفق بيانات IP عبر أجهزة الشبكة لا تزال تحتفظ بها. لقد أصبح المعيار الصناعي الأكثر شهرة لتحليل حركة المرور IP / MPLS،الإحصاءات والفواتير في مجال الإنترنتيمكن لتكنولوجيا تدفق الشبكة تحليل وقياس نمط السلوك التفصيلي لحركة المرور على شبكة IP / MPLS ، وتوفير إحصاءات مفصلة لعملية الشبكة.
يتكون نظام التدفق الصافي من ثلاثة أجزاء رئيسية: المصدر والجمع ونظام تقرير التحليل.
المصدر: يراقب بيانات الشبكة
المجمع: يستخدم لجمع بيانات الشبكة المصدرة من المصدر
التحليل: يستخدم لتحليل بيانات الشبكة التي تم جمعها من المجمع وتوليد التقارير
من خلال تحليل المعلومات التي تم جمعها بواسطة Netflow ، يمكن لمسؤولي الشبكة معرفة مصدر الوجهة ونوع خدمة الشبكة للبطاقات ، وسبب ازدحام الشبكة.قد لا يوفر سجل كامل لحركة المرور الشبكة مثل tcpdump يفعل، ولكن عندما يتم جمعها مع بعضها البعض فمن الأسهل بكثير لإدارة وقراءتها.
إنتاج بيانات شبكة NetFlow من أجهزة التوجيه والمفاتيح يتكون من تدفقات البيانات المنتهية الصلاحية وإحصاءات حركة المرور التفصيلية.تتضمن تدفقات البيانات هذه عنوان IP المرتبط بمصدر وحيث تصل الحزمة، وكذلك البروتوكول والمنفذ المستخدم من قبل الجلسة من نهاية إلى نهاية. تشمل إحصاءات حركة المرور الطابع الزمني لتدفق البيانات وعناوين IP المصدر والمقصد وأرقام منفذ المصدر والمقصد ،أرقام واجهات الإدخال والإخراج، عناوين بروتوكول IP المقبلة، إجمالي البايتات في التدفق، وعدد الحزم في التدفق، وختامات الوقت من الحزم الأولى والأخيرة في التدفق. والقناع الأمامي، ورقم الحزم، الخ
نيتفلو V9 هو تنسيق خريج بيانات نيتفلو مرن ويمكن توسيعه مع إصدار إحصائيات قائمة على القوالب. سهل إضافة حقول البيانات التي تحتاج إلى إصدار وتدعم مجموعة متنوعة من الوظائف الجديدة،مثل: تدفق شبكة متعددة الحالات ، تدفق شبكة MPLS ، BGP Next Hop V9 ، تدفق شبكة IPv6 ، وهلم جرا.
في عام 2003، تم اختيار Netflow V9 أيضًا كمعيار IPFIX (تصدير معلومات تدفق IP) من قبل IETF من بين خمسة مرشحين.
IPFIX (مراقبة حركة المرور في الشبكة)
تستخدم التكنولوجيا القائمة على التدفق على نطاق واسع في مجال الشبكات ، فهي ذات قيمة كبيرة في وضع سياسة QoS ، ونشر التطبيقات وتخطيط القدرة.مدراء الشبكة يفتقرون إلى تنسيق قياسي لتدفقات البيانات الخارجةبروتوكول IPFIX هو بروتوكول قياسي لقياس معلومات التدفق في الشبكات المنشورة من قبل IETF.
يستند التنسيق المحدد بواسطة IPFIX إلى تنسيق خروج بيانات Cisco Netflow V9 ، الذي يوحد الإحصاءات ومعايير خروج تدفقات البيانات IP.هو بروتوكول لتحليل خصائص تدفق البيانات وبيانات الإخراج في تنسيق قائم على القالبلذلك، لديها قابلية كبيرة للتوسع. إذا تغيرت متطلبات مراقبة حركة المرور،يمكن لمسؤولين الشبكة تعديل التكوينات المقابلة دون ترقية برنامج جهاز الشبكة أو أدوات الإدارةيمكن لمسؤولي الشبكة بسهولة استخراج وعرض إحصاءات حركة المرور المهمة المخزنة في هذه الأجهزة الشبكة.
للحصول على مخرج أكثر اكتمالًا ، يستخدم IPFIX سبعة مجالات رئيسية من أجهزة الشبكة بشكل افتراضي لتمثيل حركة المرور في الشبكة لكل سهم:
1عنوان IP المصدر
2عنوان IP الوجهة
3بوابة المصدر TCP/UDP
4. TCP/UDP منفذ الوجهة
5نوع بروتوكول الطبقة الثالثة
6. نوع الخدمة (نوع الخدمة) بايت
7أدخل واجهة منطقية
إذا كانت جميع النطاقات الرئيسية السبع في حزم IP مختلفة متطابقة ، تعتبر حزم IP تنتمي إلى نفس حركة المرور. من خلال تسجيل خصائص حركة المرور على الشبكة ،مثل مدة الحركة ومتوسط طول الحزمة، يمكنك أن تتعلم عن تطبيق الشبكة الحالية، وتحسين الشبكة، اكتشاف الأمن، وتحمل حركة المرور.
بنية شبكة IPFIX
للاختصار، يعتمد IPFIX على مفهوم التدفق. يشير التدفق إلى حزم من نفس الواجهة الفرعية مع نفس عنوان IP المصدر والمقصد، ونوع البروتوكول،رقم الميناء المصدر وميناء الوجهة، و ToS. عادة ما تكون الحزم 5 مرات. يحتوي IPFIX على إحصاءات حول التدفق ، بما في ذلك الطابع الزمني وعدد الحزم وعدد الكلي من البايتات. يتكون IPFIX من ثلاثة أجهزة:المصدر، جامع، ومحلل. العلاقات بين الأجهزة الثلاثة هي كما يلي:
تصدير تحلل تدفقات الشبكة، واستخراج إحصاءات تدفق مؤهلة، وإرسال الإحصاءات إلى جمع.
يقوم المجمع بتحليل حزم البيانات التصدير وتجميع الإحصاءات في قاعدة البيانات لتحليلها من قبل المحلل.
يقوم المحلل بإستخراج الإحصاءات من المجمع ، ويقوم بمعالجة لاحقة ، ويظهر الإحصاءات كواجهة استخدام رسمية لخدمات مختلفة.
سيناريوهات تطبيق IPFIX
المحاسبة القائمة على الاستخدام
يعتمد فواتير حركة المرور في مشغلي الشبكات بشكل عام على حركة تحميل وتنزيل كل مستخدم. لأن IPFIX يمكن أن تكون دقيقة إلى عنوان IP المقصود وميناء البروتوكول ومجالات أخرى ،يمكن تقسيم رسوم حركة المرور في المستقبل بناءً على خصائص خدمة التطبيقبالطبع، يوضح البروتوكول أيضًا أن إحصاءات حزم IPFIX يتم "تعديلها". في العديد من التطبيقات (مثل طبقة العمود الفقري) ، كلما كانت إحصاءات تدفق البيانات أكثر تفصيلًا، كلما كان ذلك أفضل.بسبب أداء أجهزة الشبكة، لا يمكن أن يكون معدل أخذ العينات صغيرًا جدًا، لذلك ليس من الضروري توفير فاتورة حركة المرور دقيقة وموثوقة تمامًا. ومع ذلك، على مستوى مشغل الشبكة،وحدة الفواتير عادة ما تكون أكثر من 100 ميجابايت، ودقة أخذ العينات من IPFIX يمكن أن تلبي الاحتياجات ذات الصلة.
تحديد ملفات المرور، هندسة المرور
إنتاج سجلات IPFIX Exporter ، IPFIX Collector يمكن أن يخرج معلومات سجلات حركة المرور الغنية جداً في شكل مخططات مختلفة ، هذا هو مفهوم تحديد سجلات حركة المرور.
ومع ذلك، مجرد تسجيل المعلومات، لا يمكن الاستفادة من وظيفة قوية من IPFIX، IETF أيضا أطلق مفهوم هندسة المرور: في العملية الفعلية للشبكة،غالبا ما يتم التوازن في الحمل المخطط له والاحتياطي الزائد، ولكن البروتوكولات المختلفة عموما وفقا لمسار محدد مسبقا من تخطيط الشبكة، أو يتم تعديل مبادئ البروتوكول.إذا تم استخدام IPFIX لمراقبة حركة المرور على الشبكة ويتم العثور على كمية كبيرة من البيانات في فترة زمنية معينة، يمكن الإبلاغ عن مدير الشبكة لضبط حركة المرور، بحيث يمكن تخصيص المزيد من نطاق النطاق الترددي للشبكة للتطبيقات ذات الصلة للحد من الحمل غير المتكافئ.يمكنك ربط قواعد التكوين، مثل تعديل المسار ، وتخصيص نطاق النطاق الترددي ، وسياسات الأمان ، إلى العمليات على IPFIX Collector لتعديل حركة الشبكة تلقائيًا.
إكتشاف الهجوم/الاختراق
يمكن لـ IPFIX اكتشاف هجمات الشبكة بناءً على خصائص حركة المرور. على سبيل المثال ، مسح IP نموذجي ، فحص الموانئ ، هجمات DDOS.يمكن أن يستخدم بروتوكول IPFIX القياسي للعينات أيضًا ترقية "قاعدة بيانات التوقيع" لحظر أحدث هجمات الشبكةتماماً مثل الحماية العامة ضد الفيروسات من جانب المضيف
مراقبة جودة الخدمة في الشبكة
المعايير النموذجية لجودة الخدمة هي:
حالة فقدان الحزم: فقدان [RFC2680]
تأخير في الاتجاه الواحد: تأخير في الاتجاه الواحد [RFC2679]
تأخير الرحلة ذهابا وإيابا: تأخير الرحلة ذهابا وإيابا [RFC2681]
تغير التأخير [RFC3393]
من الصعب على التقنيات السابقة مراقبة المعلومات المذكورة أعلاه في الوقت الحقيقي، ولكن حقول IPFIX المختلفة المخصصة وفترات المراقبة يمكن بسهولة مراقبة القيم المذكورة أعلاه من الرسائل المختلفة.
هنا جدول موسع يوفر المزيد من التفاصيل حول الاختلافات بين NetFlow و IPFIX:
