Eksploracja danych Proces Eksploracji danych IBM miner for data Analiza ruchu sieciowego Algorytmy Bibliografia

Analiza ruchu sieciowego

Wprowadzenie

Net Flow

Systemy autonomiczne



---

Warto zobaczyć:
best player serwis komputerowy londyn serwery dedykowane Pozycjonowanie

Technologia NetFlow

Technologia NetFlow została opracowana przez firmę Cisco Systems i jest podstawą gromadzenia kompletnych statystyk dotyczących ruchu sieciowego na interfejsach aktywnych urządzeń sieciowych (przełączniki, routery). Protokół NetFlow zaimplementowany jest w IOS urządzeń sieciowych (z ang. IOS – Internetwork Operating System – sieciowy system operacyjny) i najczęściej wykorzystywany jest na interfejsach routerów brzegowych. Zebrane dane sumaryczne strumieni sesji host – host oraz wybranych interfejsów eksportowane są do tzw. NetFlow Collector’a. Poniżej omówimy zasadę działania i sposoby wykorzystywania danych zbieranych przy pomocy technologii NetFlow

NetFlow jest specyficznym mechanizmem przełączania, pakietów wykorzystywanym w routerach firmy Cisco. Polega na klasyfikacji ruchu sieciowego i następnie przekazaniu zebranych danych i informacji do aplikacji współpracujących. Wspomniany już wcześniej NetFlow Collector jest swoistym buforem, który gromadzi wszystkie dane zbierane przez uruchomioną usługę NetFlow na urządzeniu sieciowym. Inną aplikacją współpracującą może być NetFlow Analyzer, który wspomaga przetwarzanie zgromadzonych danych oraz ułatwia ich prezentację w sposób graficzny. Najważniejszym pojęciem związanym z NetFlow jest przepływ. Przepływ (z ang. flow) w ujęciu sieciowym (z ang. net - sieć) definiuje strumień przepływających pakietów w kierunku od punktu źródła (z ang. source) do punktu przeznaczenia, celu (z ang. destination). W zależności od wersji protokołu NetFlow przepływ charakteryzują między innymi następujące wartości:

• Adresy IP źródła i celu
• Liczbę przesyłanych pakietów i bajtów
• Czasy rozpoczęcia i zakończenia transmisji
• Pole ToS (z ang. Type of Service – typ usługi)
• Numery portów (TCP, UDP) wykorzystywanych aplikacji
• Interfejsy wejścia i wyjścia

Specyfika przełączania wykorzystującego NetFlow polega na tym, iż tylko pierwszy pakiet z przepływu przełączany jest w tradycyjny sposób. Dla pierwszego napotkanego pakietu tworzony jest charakterystyczny wpis w pamięci Network Cache a kolejne pakiety z przepływu przełączane są z pominięciem działań takich jak: wyznaczenie interfejsu wyjściowego dla pakietu, spełnienia warunków określonych przez administratora itp. Tego typu przełączanie jest szybkie oraz pozwala gromadzić statystyki przepływów przy niewielkim obciążeniu zasobów routera. Poniższy rysunek obrazuje zasadę działania mechanizmu NetFlow i przełączania w oparciu o NetFlow Cache przechowującym dane o przepływach w ruchu sieciowym.


Przełączanie NetFlow

Kolejnym pojęciem związanym z NetFlow jest pojęcie NetFlow Cache Management (oprogramowanie zarządzające przełączeniami), którego głównymi zadaniami są:

• Wykrywanie czy napotkany pakiet jest nowym pakietem, dla którego należy dodać nowy wpis w NetFlow Cache czy jest pakietem danego przepływu
• Prowadzenie uaktualnianych na bieżąco statystyk dotyczących każdego z przepływów z NetFlow Cache
• Wykrywanie wygaśnięcia przepływu

NetFlow Cache przechowuje określoną liczbę informacji o przepływach. Wpisy o przepływach, które wygasły (np. nieaktywne w zadanym oknie czasowym, pakiety TCP z flagą FIN lub RST, przepływy „stare” – przebywające w pamięci dłużej niż 30 minut) są eksportowane do NetFlow Collector’a (aplikacji przechowującej informacje o przepływach w pamięci dyskowej). Zgromadzone w ten sposób dane mogą zostać wykorzystane między innymi w: hurtowniach danych, zadaniach związanych z monitorowaniem sieci, planowaniu przepustowości i wydajności sieci, monitorowaniu i profilowaniu wykorzystywanych aplikacji, analizie użytkowników, analizie bezpieczeństwa oraz eksploracji danych.

Specyfikacja danych

Poniżej przedstawiamy kompletną charakterystykę danych wynikowych, wygenerowanych poprzez wykorzystanie technologii NetFlow. Opis poszczególnych pól, tworzących pliki źródłowe, będące podstawą analizy, składa się z nazwy pola oraz charakterystyki.


Charakterystyka danych – NetFlow  uTorrent winamp download ekrany projekcyjne globalna sieć