नेटफ्लो (नेटवर्क डाटा फ्लो डिटेक्शन प्रोटोकॉल)
सॉफ्टवेयर प्रणाली के उन्नयन और भेद्यता मरम्मत योजना की परिपक्वता के साथ, वायरस हमला मोड जो सीधे नुकसान के लिए मेजबान पर आक्रमण करता है, धीरे-धीरे कम हो जाता है,और फिर सीमित नेटवर्क संसाधनों के दुर्भावनापूर्ण खपत के लिए बदल जाता है, नेटवर्क की भीड़ का कारण बनता है, इस प्रकार बाहरी सेवाएं प्रदान करने के लिए प्रणाली की क्षमता को नष्ट कर देता है।उद्योग ने नेटवर्क डेटा प्रवाह का पता लगाने के लिए एक विधि का प्रस्ताव किया है ताकि नेटवर्क विसंगतियों और हमलों का न्याय किया जा सके।वास्तविक समय में नेटवर्क डेटा प्रवाह की जानकारी का पता लगाकर,नेटवर्क प्रबंधक वास्तविक समय में पूरे नेटवर्क की स्थिति की जांच कर सकते हैं ऐतिहासिक पैटर्न (यह तय करने के लिए कि यह सामान्य है) या असामान्य पैटर्न (यह तय करने के लिए कि यह हमला किया गया है) से मेल खाकर. नेटवर्क प्रदर्शन में संभावित बाधाओं का पता लगाएं, और कुशल और विश्वसनीय नेटवर्क संचालन सुनिश्चित करने के लिए स्वचालित रूप से संभाल या अलार्म प्रदर्शित करें।
नेटफ्लो तकनीक का आविष्कार सबसे पहले 1996 में सिस्को के डैरेन केर और बैरी ब्रुइन्स ने किया था और उसी वर्ष मई में इसे अमेरिकी पेटेंट के रूप में पंजीकृत किया गया था।नेटफ्लो तकनीक का उपयोग सबसे पहले नेटवर्क उपकरण में डेटा विनिमय में तेजी लाने के लिए किया जाता है, और उच्च गति से अग्रेषित आईपी डेटा प्रवाह के माप और सांख्यिकी का एहसास कर सकते हैं।डेटा एक्सचेंज त्वरण के लिए नेटफ्लो का मूल कार्य धीरे-धीरे नेटवर्क उपकरणों में समर्पित एएसआईसी चिप्स द्वारा प्रतिस्थापित किया गया है, जबकि नेटवर्क उपकरणों के माध्यम से आईपी डेटा प्रवाह की माप और सांख्यिकी का कार्य अभी भी बरकरार है। यह आईपी/एमपीएलएस यातायात विश्लेषण के लिए सबसे मान्यता प्राप्त उद्योग मानक बन गया है,इंटरनेट के क्षेत्र में सांख्यिकी और बिलिंगनेटफ्लो तकनीक आईपी/एमपीएलएस नेटवर्क ट्रैफ़िक के विस्तृत व्यवहार पैटर्न का विश्लेषण और माप कर सकती है और नेटवर्क संचालन के विस्तृत सांख्यिकी प्रदान कर सकती है।
नेटफ्लो प्रणाली में तीन मुख्य भाग होते हैंः निर्यातक, कलेक्टर और विश्लेषण रिपोर्टिंग प्रणाली।
निर्यातकः नेटवर्क डेटा की निगरानी करता है
कलेक्टर: निर्यातक से निर्यात किए गए नेटवर्क डेटा को एकत्र करने के लिए उपयोग किया जाता है
विश्लेषणः कलेक्टर से एकत्रित नेटवर्क डेटा का विश्लेषण करने और रिपोर्ट उत्पन्न करने के लिए उपयोग किया जाता है
नेटफ्लो द्वारा एकत्र की गई जानकारी का विश्लेषण करके, नेटवर्क प्रशासक स्रोत, गंतव्य, नेटवर्क सेवा प्रकार के पैकेट और नेटवर्क भीड़ का कारण जान सकते हैं।यह tcpdump की तरह नेटवर्क यातायात का एक पूरा रिकॉर्ड प्रदान नहीं कर सकता है, लेकिन जब इसे इकट्ठा किया जाता है तो इसे प्रबंधित करना और पढ़ना बहुत आसान होता है।
नेटफ्लो नेटवर्क डेटा आउटपुट रूटर और स्विच से समाप्त डेटा प्रवाह और विस्तृत यातायात सांख्यिकी से मिलकर बनता है।इन डेटा प्रवाहों में पैकेट के स्रोत और गंतव्य से जुड़े आईपी पते होते हैं, साथ ही अंत से अंत सत्र द्वारा प्रयुक्त प्रोटोकॉल और पोर्ट। यातायात सांख्यिकी में डेटा प्रवाह समयस्टैम्प, स्रोत और गंतव्य आईपी पते, स्रोत और गंतव्य पोर्ट नंबर शामिल हैं,इनपुट और आउटपुट इंटरफेस नंबर, अगले हॉप आईपी पते, प्रवाह में कुल बाइट्स, प्रवाह में पैकेट की संख्या, और प्रवाह में पहले और अंतिम पैकेट के समय टिकट. और सामने मास्क, पैकेट संख्या, आदि
नेटफ्लो V9 एक नया लचीला और विस्तार योग्य नेटफ्लो डेटा आउटपुट प्रारूप है जिसमें टेम्पलेट-आधारित सांख्यिकीय आउटपुट है। डेटा फ़ील्ड जोड़ना आसान है जिन्हें आउटपुट करने की आवश्यकता है और विभिन्न नए कार्यों का समर्थन करता है,जैसे: मल्टीकेस नेटफ्लो, एमपीएलएस जागरूक नेटफ्लो, बीजीपी नेक्स्ट हॉप वी 9, आईपीवी 6 के लिए नेटफ्लो, और इसी तरह।
2003 में, नेटफ्लो V9 को पांच उम्मीदवारों में से IETF द्वारा IPFIX (IP प्रवाह सूचना निर्यात) मानक के रूप में भी चुना गया था।
IPFIX (नेटवर्क यातायात निगरानी)
प्रवाह आधारित प्रौद्योगिकी का व्यापक रूप से नेटवर्क क्षेत्र में उपयोग किया जाता है, यह QoS नीति की स्थापना, अनुप्रयोगों की तैनाती और क्षमता नियोजन में बहुत मूल्यवान है।नेटवर्क प्रशासकों के पास आउटपुट डेटा स्ट्रीम के लिए एक मानक प्रारूप नहीं हैआईपीफिक्स (आईपी प्रवाह सूचना निर्यात, आईपी डेटा प्रवाह सूचना आउटपुट) आईईटीएफ द्वारा प्रकाशित नेटवर्क में प्रवाह सूचनाओं को मापने के लिए एक मानक प्रोटोकॉल है।
IPFIX द्वारा परिभाषित प्रारूप सिस्को नेटफ्लो V9 डेटा आउटपुट प्रारूप पर आधारित है, जो आईपी डेटा प्रवाह के सांख्यिकी और आउटपुट मानकों को मानकीकृत करता है।यह टेम्पलेट आधारित प्रारूप में डेटा प्रवाह विशेषताओं और आउटपुट डेटा का विश्लेषण करने के लिए एक प्रोटोकॉल है. इसलिए, यह मजबूत स्केलेबिलिटी है. यदि यातायात निगरानी आवश्यकताओं को बदलने,नेटवर्क प्रशासक नेटवर्क डिवाइस सॉफ्टवेयर या प्रबंधन उपकरण को अपग्रेड किए बिना संबंधित विन्यास को संशोधित कर सकते हैंनेटवर्क प्रशासक इन नेटवर्क उपकरणों में संग्रहीत महत्वपूर्ण यातायात सांख्यिकी को आसानी से निकाल और देख सकते हैं।
अधिक पूर्ण आउटपुट के लिए, IPFIX प्रति शेयर नेटवर्क ट्रैफ़िक का प्रतिनिधित्व करने के लिए डिफ़ॉल्ट रूप से नेटवर्क उपकरणों के सात प्रमुख डोमेन का उपयोग करता हैः
1स्रोत आईपी पता
2. गंतव्य आईपी पता
3. टीसीपी/यूडीपी स्रोत पोर्ट
4. टीसीपी/यूडीपी गंतव्य पोर्ट
5परत 3 प्रोटोकॉल प्रकार
6. सेवा का प्रकार (सेवा का प्रकार) बाइट
7. एक तार्किक इंटरफ़ेस दर्ज करें
यदि विभिन्न आईपी पैकेटों में सभी सात प्रमुख डोमेन मेल खाते हैं, तो आईपी पैकेटों को एक ही यातायात से संबंधित माना जाता है।जैसे ट्रैफिक अवधि और औसत पैकेट लंबाई, आप वर्तमान नेटवर्क अनुप्रयोग के बारे में सीख सकते हैं, नेटवर्क का अनुकूलन, सुरक्षा का पता लगाने, और यातायात चार्ज कर सकते हैं।
IPFIX नेटवर्क आर्किटेक्चर
संक्षेप में, IPFIX प्रवाह की अवधारणा पर आधारित है। एक प्रवाह एक ही उप-इंटरफेस से पैकेट को संदर्भित करता है, एक ही स्रोत और गंतव्य आईपी पते, प्रोटोकॉल प्रकार,स्रोत और गंतव्य बंदरगाह संख्या, और ToS. पैकेट आमतौर पर 5-टूपल होते हैं। IPFIX स्ट्रीम के बारे में आंकड़े रिकॉर्ड करता है, जिसमें टाइमस्टैम्प, पैकेट की संख्या और बाइट की कुल संख्या शामिल है। IPFIX में तीन डिवाइस होते हैंःनिर्यातक, कलेक्टर, और विश्लेषक. तीन उपकरणों के बीच संबंध इस प्रकार हैंः
निर्यात नेटवर्क प्रवाहों का विश्लेषण करता है, योग्य प्रवाह आँकड़े निकालता है, और आँकड़े कलेक्टर को भेजता है।
कलेक्टर निर्यात डेटा पैकेट को पार्स करता है और विश्लेषक द्वारा विश्लेषण के लिए डेटाबेस में आंकड़े एकत्र करता है।
विश्लेषक कलेक्टर से आँकड़े निकालता है, बाद में प्रसंस्करण करता है और विभिन्न सेवाओं के लिए जीयूआई के रूप में आँकड़े प्रदर्शित करता है।
IPFIX अनुप्रयोग परिदृश्य
उपयोग आधारित लेखांकन
नेटवर्क ऑपरेटरों में ट्रैफ़िक बिलिंग आम तौर पर प्रत्येक उपयोगकर्ता के अपलोड और डाउनलोड ट्रैफ़िक पर आधारित होती है। क्योंकि IPFIX गंतव्य आईपी पते, प्रोटोकॉल पोर्ट और अन्य क्षेत्रों तक सटीक हो सकता है,भविष्य के यातायात शुल्क को एप्लिकेशन सेवा की विशेषताओं के आधार पर खंडित किया जा सकता हैबेशक, प्रोटोकॉल यह भी बताता है कि IPFIX पैकेट आँकड़े "नमूना" हैं। कई अनुप्रयोगों में (जैसे रीढ़ की परत परत), अधिक विस्तृत डेटा प्रवाह आँकड़े हैं, बेहतर।नेटवर्क उपकरणों के प्रदर्शन के कारण, नमूनाकरण दर बहुत कम नहीं हो सकती है, इसलिए पूरी तरह से सटीक और विश्वसनीय यातायात बिलिंग प्रदान करना आवश्यक नहीं है।बिलिंग इकाई आम तौर पर 100 मेगाबिट से अधिक होती है, और IPFIX की नमूनाकरण सटीकता प्रासंगिक जरूरतों को पूरा कर सकती है।
यातायात प्रोफाइलिंग, यातायात इंजीनियरिंग
आईपीफिक्स निर्यातक का रिकॉर्ड आउटपुट, आईपीफिक्स कलेक्टर विभिन्न चार्ट के रूप में बहुत समृद्ध यातायात रिकॉर्ड जानकारी आउटपुट कर सकता है, यह यातायात प्रोफाइलिंग की अवधारणा है।
हालांकि, सिर्फ जानकारी के रिकॉर्ड, IPFIX के शक्तिशाली कार्य का लाभ नहीं उठा सकते, IETF भी यातायात इंजीनियरिंग की अवधारणा का शुभारंभ कियाः नेटवर्क के वास्तविक संचालन में,अक्सर नियोजित भार संतुलन और अतिरेक बैकअप, लेकिन विभिन्न प्रोटोकॉल आम तौर पर नेटवर्क योजना के पूर्व निर्धारित मार्ग के अनुसार होते हैं, या प्रोटोकॉल सिद्धांतों को समायोजित किया जाता है।यदि IPFIX का उपयोग नेटवर्क पर यातायात की निगरानी के लिए किया जाता है और एक निश्चित समय अवधि में बड़ी मात्रा में डेटा पाया जाता है, नेटवर्क प्रशासक को ट्रैफ़िक को समायोजित करने के लिए सूचित किया जा सकता है, ताकि असमान भार को कम करने के लिए संबंधित अनुप्रयोगों को अधिक नेटवर्क बैंडविड्थ आवंटित किया जा सके।आप विन्यास नियम बाध्य कर सकते हैं, जैसे कि मार्ग समायोजन, बैंडविड्थ आवंटन और सुरक्षा नीतियां, स्वचालित रूप से नेटवर्क यातायात को समायोजित करने के लिए IPFIX कलेक्टर पर संचालन के लिए।
हमला/घुसपैठ का पता लगाना
IPFIX यातायात विशेषताओं के आधार पर नेटवर्क हमलों का पता लगा सकता है। उदाहरण के लिए, विशिष्ट आईपी स्कैनिंग, पोर्ट स्कैनिंग, डीडीओएस हमले।नमूनाकरण मानक IPFIX प्रोटोकॉल भी नवीनतम नेटवर्क हमलों को ब्लॉक करने के लिए एक "हस्ताक्षर डेटाबेस" उन्नयन का उपयोग कर सकते हैं, सामान्य मेजबान पक्ष वायरस सुरक्षा की तरह ही.
QoS मॉनिटरिंग (सेवा की नेटवर्क गुणवत्ता की निगरानी)
विशिष्ट QoS पैरामीटर हैंः
पैकेट हानि की स्थितिः हानि [RFC2680]
एकतरफा देरी: एकतरफा देरी [RFC2679]
राउंड-ट्रिप देरीः राउंड-ट्रिप देरी [RFC2681]
देरी परिवर्तन [RFC3393]
पिछली प्रौद्योगिकियों के कारण उपरोक्त सूचनाओं की वास्तविक समय में निगरानी करना मुश्किल है, लेकिन IPFIX के विभिन्न कस्टम फ़ील्ड और निगरानी अंतराल विभिन्न संदेशों के उपरोक्त मूल्यों की आसानी से निगरानी कर सकते हैं।
यहाँ एक विस्तारित तालिका है जो NetFlow और IPFIX के बीच अंतर के बारे में अधिक विवरण प्रदान करती हैः
