Netzwerkmonitoring
NetFlow und Paketdaten im Vergleich
Fortsetzung des Artikels von Teil 1
Generieren von NetFlow-Datensätzen
Wenn ein Paket bei einem Router eintrifft, werden die genannten sieben Attribute geprüft, um zu ermitteln, ob das Paket zu einem neuen Datenfluss gehört. Sollten die Attribute exakt mit denen der vorherigen Pakete übereinstimmen, wird es als Teil eines bereits bekannten Datenflusses behandelt und zum bereits vorhandenen Datensatz hinzugefügt.
Jede Änderung an diesen sieben Attributen führt dazu, dass ein neuer NetFlow-Datensatz erstellt wird. Der Datensatz selbst ist recht klein und enthält die grundlegenden statistischen Angaben zum Datenfluss, das heißt die sieben Attribute, die Anzahl der Pakete und die Datenmenge. Wenn beispielsweise ein Client zwei TCP-Verbindungen mit zwei TCP-SYN-Paketen zu einem Server aufbaut, unterscheiden sich die „ephemeralen“ (flüchtigen) Portnummern auf der Client-Seite.
Auch wenn alle anderen kritischen Werte, wie die Quellen- oder Ziel-IP, in den beiden SYN-Paketen identisch sind, reichen die unterschiedlichen Quellport-Nummern aus, um zwei verschiedene NetFlow-Datensätze zu generieren. Und zwar für jedes Paket einen.
Exportieren von NetFlow-Datensätzen
Nach einer Minute exportieren die meisten Router alle Datensätze, die für den Export markiert wurden, aus dem NetFlow-Cache. Alle beendeten TCP-Verbindungen (FIN oder RST), aktiven Datenflüsse mit einem Ein-Minuten-Timeout und alle inaktiven Datenflüsse werden als beendet markiert und exportiert. Für gewöhnlich exportieren Router mehrere Datenflüsse in einem einzigen NetFlow-Paket, sodass sehr wenig Bandbreite benötigt wird, um die Verkehrsstatistik einer intensiv genutzten Netzwerkverbindung zu übertragen.
Hauptvorteile von NetFlow
NetFlow erlaubt dem Techniker, zahlreiche Aspekte des Netzwerkverkehrs zu beobachten, ohne jedoch den gesamten Verkehr auf Paketebene aufzeichnen zu müssen. Obwohl Paketdaten die gleichen Statistiken zur Verfügung stellen, bietet NetFlow eine platzsparende Methode zum Überwachen des Netzwerkverkehrs und ermöglicht daher auch die Langzeitspeicherung. Die meisten Kollektoren können die Nutzungsdaten mindestens einen Monat bis zu mehreren Jahren in einer angemessen dimensionierten Datenbank speichern.
Ideale Einsatzszenarien für NetFlow
- Netzwerk-Sicherheitsüberwachung
- Angriffsforensik
- Baselining des Netzwerkverkehrs
- Bandbreitenüberwachung
- Transparenz im Core, am Netzwerk-rand und in externen Niederlassungen
- Überwachung von Applikationen
- Kapazitätsplanung
- Fehlerdiagnose bei Überlastungen
Für diese Aufgaben bieten die von NetFlow bereitgestellten Daten zahlreiche Vorteile gegenüber Paketdaten, da sie flexibel einsetzbar sind, gefiltert werden können und sich auch über längere Zeiträume mühelos speichern lassen.
Sieben Paketattribute zur Charakterisierung des Datenflusses
Bei den meisten NetFlow-Versionen wird ein Datenfluss durch die folgenden sieben Paketattribute charakterisiert:
- IP-Quelladresse
- IP-Zieladresse
- Quellport-Nummer (TCP oder UDP)
- Zielport-Nummer (TCP oder UDP)
- IP-Protokoll-ID
- DiffServ-Wert
- Ingress-Schnittstelle
Einige NetFlow-Versionen können mehr als diese sieben Attribute prüfen, aber der Einfachheit halber beschränkt sich dieser Artikel auf die oben genannten Merkmale
- NetFlow und Paketdaten im Vergleich
- Generieren von NetFlow-Datensätzen
- Paketdaten
Lesen Sie mehr zum Thema
