IPFIXの勉強資料 6月26日 システム情報科学府情報工学専攻 大倉圭介 目次 SMNP Flow Net Flow sFlow Sampling IPFIX 補足 SNMP Simple Network Management Protocol インターフェースベースのネットワーク管理 SNMPではネットワークの以下の情報を取 得することが可能 トラフィック量 エラー数 CPU/メモリの使用率,状態 ソフトウェア例:MRTG,HP/OV 引用元:http://www.computerworld.jp/news/net/49812-1.html SNMPの問題点 SNMPによって取得できる情報は基本的にOSI7 層モデルの第2層の情報まで どんなアプリケーションのデータが流れているのかわ からない どこからどこまでトラフィックがながれているのかわか らない DDos攻撃やマルウェアの侵入に関する情報を十分に 得られない インターフェースベースからフローベースへ 引用元:http://www.computerworld.jp/news/net/49812-1.html Flow IP Flow 一定時間に観測点を通るIPパケットの集合 特定のフローに属する全てのパケットは同一 のプロパティーの集合をもつ 観測点 IPパケットを観測できるネットワーク内の場所 例:ルーターのポート 引用元:http://www.computerworld.jp/news/net/49812-1.html フローベースのネットワーク管理 エクスポータ ルータやスイッチなどのフロー情報を吐き出す ネットワーク機器 コレクタ フロー情報を受け取って様々な分析をする機 器 引用元:http://www.computerworld.jp/news/net/49812-1.html フローベースのネットワーク管理 引用元:http://www.computerworld.jp/news/net/49812-1.html フローベースのネットワーク管理 サービスプロバイダ アプリケーションの把 握 ピアリングの最適化 セキュリティー QoS 将来予測 課金 etc エンタープライズ アプリケーションの把 握 ユーザ挙動の把握 攻撃の検知 課金 etc 引用元: http://www.soi.wide.ad.jp/class/20060031/slides/51/index_1.html Net Flow シスコシステムズが開発 エクスポータでフロー情報をキャッシュする フラッシュする必要がある Inactive Timer(デフォルト 15秒) Active Timer(デフォルト 30分) TCP FIN or RST キャッシュが一杯になったとき 引用元:http://www.soi.wide.ad.jp/class/20060031/slides/51/index_1.html Net Flow 引用元:http://www.computerworld.jp/news/net/49812-2.html Net Flow バージョン 1 5 7 8 9 特徴 最初のバージョン 現在ほとんど使用されてない BGP ASとフローシーケンスをサポート 最も多く使われている Catalyst Switchシリーズのため拡張 アグリゲーションをサポート テンプレートベース IPFIXのベース 引用元: http://www.soi.wide.ad.jp/class/20060031/slides/51/index_1.html Net Flow V5 フローレコード 0 31 15 16 送信元IPアドレス 送信先IPアドレス next hop 入力インターフェース番号 出力インターフェース番号 パケット数 オクテット数 最初にフローが観測されたsysuptime 最後にフローが観測されたsysuptime 送信元ポート番号 パディング TCPフラグ 送信元AS番号 送信元ネットマスク 送信先ネットマスク 送信先ポート番号 ToS プロトコル 送信先AS番号 パディング 引用元:http://www.soi.wide.ad.jp/class/20060031/slides/51/index_1.html NetFlow v9 バージョン9は、エクスポートフォーマットに テンプレートを使用している IPパケットのフローを柔軟性が高く、拡張性に 富んだ方法で観測することができる 必要なデータのみをエクスポートできるので、 ネットワーク負荷を軽減できる テンプレート データセットの設計書のようなもの(C言語でい う構造体のようなもの) 引用元:http://www.soi.wide.ad.jp/class/20060031/slides/51/index_1.html NetFlow v9 エクスポートされるフローセットの種類 データ・フローセット フローデータ・レコード オプション・データ・レコード NetFlowの処理設定など、フロー以外の要求された情報 テンプレート・フローセット エクスポートされたフローのデータ部分 何をエクスポートするのかを定義したフローセット オプション・テンプレート・フローセット 何をエクスポートするのかを定義したフローセット フロー自体ではなく、NetFlowの処理設定や処理固有 のデータを提供するために利用される 引用元:http://www.soi.wide.ad.jp/class/20060031/slides/51/index_1.html sFlow 米国インモン社が開発 インターフェースから出て行くすべてのパ ケットを一定の割合でサンプリングし、その パケットの先頭の数バイト(通常は256バ イト)をコレクタにエクスポートする 引用元:http://www.computerworld.jp/news/net/49812-2.html sFlow 引用元:http://www.computerworld.jp/news/net/49812-2.html sFlow バージョン 2 4 5 特徴 最初のバージョン 現在ほとんど使用されてない BGP communityの追加 CPU/メモリ使用率、BGPネクストホップ、 MPLS、NATサポート追加 Vendor-specificレコードで拡張可能 引用元:http://www.soi.wide.ad.jp/class/20060031/slides/51/index_1.html サンプリング 目的 エクスポートのCPUやメモリの節約 ネットワーク帯域の節約 コレクターの性能の節約 引用元:http://www.soi.wide.ad.jp/class/20060031/slides/51/index_1.html サンプリング方式 Systematic Sampling Count-based Time-based Random Sampling n-out-of-N Uniform of Non-Uniform Probablistic 引用元:http://www.soi.wide.ad.jp/class/20060031/slides/51/index_1.html サンプリング 最適なサンプリング値は? フローの使用目的によって異なる ハードウェアアシストの有無 サンプリングによって失われるもの フロー数 スキャン等の振るまい etc 引用元:http://www.soi.wide.ad.jp/class/20060031/slides/51/index_1.html IPFIX IP Flow Information eXport Net Flow v9がベース IPsec/TLSでフロー情報をエクスポート可 能 テンプレートに対応 引用元:http://www.soi.wide.ad.jp/class/20060031/slides/51/index_1.html IPFIXアーキテクチャ Process 1 Observation Collector Point 1 ・・・ Process m Process Observation ・・・ Metering Exporting Metering Point m パケット 引用元:http://www.soi.wide.ad.jp/class/20060031/slides/51/index_1.html Metering Process フローレコードを発生させるプロセス Metering Processは以下の操作で構成さ れる パケットヘッダキャプチャ タイムスタンピング サンプリング フローレコードの分類と維持 引用元:http://www.soi.wide.ad.jp/class/20060031/slides/51/index_1.html IPFIX の新機能(NetFlow V9と比較して) SCTP/PR-SCTPが必須のトランスポートになり、 UDP・TCPがオプションに フィールド指定フォーマットの導入 ベンダー拡張が可能 可変長IEのサポート テンプレートを明示的に消去するTemplate Withdraw Messageの導入 セキュリティー IPsec or TLS (オプション) 引用元:http://www.soi.wide.ad.jp/class/20060031/slides/51/index_1.html 参考文献 参考HP http://www.computerworld.jp/news/net/49 812-1.html http://itpro.nikkeibp.co.jp/article/COLUMN/ 20070130/259982/?ST=nettech http://www.soi.wide.ad.jp/class/20060031/ slides/51/index_1.html http://www.ietf.org/html.charters/ipfixcharter.html
© Copyright 2024 ExpyDoc
