Flow Record Field Value
Source IP address 192.168.10.1
Destination IP address 93.184.216.34
Source port 17238
Destination port 80
Protocol TCP
• Địa chỉ MAC nguồn và đích.
• Địa chỉ IPv4 hoặc IPv6 nguồn và đích.
• Cổng nguồn và cổng đích.
• ToS.
• DSCP.
• Đếm gói và byte.
• Dấu thời gian luồng.
• Số giao diện đầu vào và đầu ra.
• Cờ TCP và giao thức đóng gói (TCP/UDP) và cờ TCP riêng lẻ.
• Các phần của gói để kiểm tra gói sâu.
• Tất cả các trường trong IPv4 header, bao gồm IP-ID và TTL.
• Tất cả các trường trong IPv6 header, bao gồm Flow Label và Option Header.
• Thơng tin định tuyến, chẳng hạn như địa chỉ bước tiếp theo, số hiệu mạng ASN, ASN đích, mặt nạ tiền tố nguồn, mặt nạ tiền tố đích và giao thức cổng BGP bước tiếp theo.
Đơn vị dữ liệu giao thức NetFlow (PDU), còn được gọi là bản ghi luồng, được tạo và gửi đến bộ thu thập NetFlow sau khi luồng kết thúc hoặc hết hạn (hết thời gian chờ).
4.1.1.1. Bộ nhớ đệm NetFlow
Có ba loại bộ nhớ đệm NetFlow:
• Bộ nhớ đệm thơng thường: Đây là loại bộ nhớ đệm mặc định trong nhiều thiết
bị cơ sở hạ tầng được kích hoạt với NetFlow và NetFlow linh hoạt. Các mục trong bộ nhớ đệm luồng bị xóa (loại bỏ) dựa trên cấu hình thời gian chờ tính bằng giây hoạt động và thời gian chờ tính bằng giây khơng hoạt động.
▪ Luồng biểu cho một gói dữ liệu duy nhất.
▪ Mong muốn cho việc giám sát lưu lượng thời gian thực và phát hiện DoS (DDoS)
▪ Được sử dụng khi chỉ có rất nhỏ luồng được kỳ vọng (ví dụ: lấy mẫu)
• Bộ nhớ đệm vĩnh viễn:
▪ Được sử dụng để theo dõi một tập hợp các luồng mà không làm hết hạn các luồng khỏi bộ nhớ đệm.
▪ Toàn bộ bộ nhớ đệm được xuất định kỳ (bộ đếm thời gian cập nhật).
▪ Bộ nhớ đệm là một giá trị có thể định cấu hình.
▪ Sau khi bộ nhớ đệm đầy, các luồng mới sẽ không được theo dõi.
▪ Sử dụng bộ đếm cập nhật thay vì bộ đếm delta.
Nhiều người thường nhầm lẫn một luồng với một phiên. Tất cả lưu lượng trong một luồng là một chiều; tuy nhiên, khi máy khách thiết lập kết nối HTTP (phiên) đến máy chủ và truy cập một trang web, điều này thể hiện hai luồng riêng biệt. Luồng đầu tiên là lưu lượng từ máy khách đến máy chủ và luồng khác là luồng trả về từ máy chủ đến máy khách.
4.1.1.2. Cisco NetFlow linh hoạt
NetFlow linh hoạt cung cấp khả năng tối ưu hóa nâng cao của cơ sở hạ tầng mạng, giảm chi phí và cải thiện việc lập kế hoạch năng lực và phát hiện bảo mật ngồi các cơng nghệ dựa trên luồng khác hiện có. NetFlow linh hoạt hỗ trợ IPv6 và nhận dạng ứng dụng dựa trên mạng (NBAR) 2 cho IPv6 bắt đầu từ phiên bản Cisco IOS 15.2 (1) T. Nó cũng hỗ trợ các kỹ thuật chuyển tiếp IPv6 (IPv6 bên trong IPv4). NetFlow linh hoạt có thể phát hiện các công nghệ đường hầm sau đây cung cấp kết nối IPv6 đầy đủ cho các máy chủ hỗ trợ IPv6 trên Internet IPv4 nhưng khơng có kết nối gốc trực tiếp với mạng IPv6:
• Teredo
• Intra-Site Automatic Tunnel Addressing Protocol (ISATAP)
• 6to4
• 6rd
Phân loại NetFlow linh hoạt bên trong Teredo, ISATAP, 6to4 và 6rd đã được giới thiệu trong Phần mềm Cisco IOS 15.2 (2) T. Xuất qua IPv6 đã được giới thiệu trong phiên bản Cisco IOS 15.2 (2) T, Cisco IOS XE 3.7.0S và phiên bản Cisco Nexus 4.2.1.
NetFlow linh hoạt theo dõi các ứng dụng khác nhau đồng thời. Ví dụ: giám sát bảo mật, phân tích lưu lượng và thanh tốn có thể được theo dõi riêng biệt và thông tin được tùy chỉnh cho mỗi ứng dụng.
NetFlow linh hoạt cho phép quản trị viên mạng hoặc chuyên gia bảo mật tạo nhiều lưu trữ luồng hoặc cơ sở dữ liệu thông tin để theo dõi. Thơng thường, NetFlow có một bộ nhớ cache duy nhất và tất cả các ứng dụng đều sử dụng cùng một thông tin bộ nhớ cache. NetFlow linh hoạt hỗ trợ việc thu thập thông tin bảo mật cụ thể trong một bộ đệm lưu lượng và phân tích lưu lượng trong một bộ nhớ cache khác. Sau đó, mỗi bộ đệm NetFlow phục vụ một mục đích khác nhau. Ví dụ: thơng tin đa hướng và thơng tin bảo mật có thể được theo dõi riêng biệt và kết quả được gửi đến hai bộ thu thập khác nhau. Hình 4.2 cho thấy mơ hình NetFlow linh hoạt và cách sử dụng ba giao diện khác nhau. Monitor 1 xuất dữ liệu NetFlow linh hoạt sang Exporter 1. Monitor 2 xuất dữ liệu NetFlow linh hoạt sang Exporter 2 và Monitor 3 xuất dữ liệu NetFlow linh hoạt sang Exporter 1 và Exporter 3.
Hình 4.2 Mơ hình NetFlow linh hoạt
Sau đây là các thành phần NetFlow linh hoạt:
• Bản ghi
• Flow Monitors
• Flow Exporters
Trong NetFlow linh hoạt, quản trị viên có thể chỉ định những gì cần theo dõi, dẫn đến ít luồng hơn. Điều này giúp mở rộng quy mô trong các mạng bận rộn và sử dụng ít tài nguyên hơn đã bị sử dụng bởi các tính năng và dịch vụ khác.
Flow Monitors
Trong NetFlow linh hoạt, các giám sát luồng được áp dụng cho các giao diện thiết bị mạng để thực hiện giám sát lưu lượng mạng. Dữ liệu luồng được thu thập từ lưu lượng mạng và được thêm vào bộ đệm ẩn giám sát luồng trong quá trình giám sát dựa trên các trường khóa và khơng khóa trong bản ghi luồng.
Flow Exporters
Các thực thể xuất dữ liệu trong bộ đệm ẩn giám sát luồng tới một hệ thống từ xa được gọi là trình xuất luồng. Các trình xuất luồng được định cấu hình thành các thực thể riêng biệt và được gán cho các trình giám sát luồng. Quản trị viên có thể tạo một số trình xuất luồng và gán chúng cho một hoặc nhiều trình giám sát luồng. Trình xuất luồng bao gồm địa chỉ đích của máy chủ báo cáo, loại truyền tải (UDP hoặc SCTP) và định dạng xuất tương ứng của phiên bản NetFlow hoặc IPFIX.
Flow Samplers
Bộ lấy mẫu luồng được tạo dưới dạng các thành phần riêng biệt trong cấu hình của bộ định tuyến. Bộ lấy mẫu luồng được sử dụng để giảm tải trên thiết bị đang chạy NetFlow linh hoạt bằng cách giới hạn số lượng gói được chọn để phân tích.
Lấy mẫu luồng trao đổi độ chính xác giám sát đối với hiệu suất của bộ định tuyến. Khi chúng ta áp dụng bộ lấy mẫu cho bộ giám sát luồng, tải trên bộ định tuyến do chạy bộ theo dõi luồng sẽ giảm vì số lượng gói mà bộ giám sát luồng phải phân tích giảm. Việc giảm số lượng gói được phân tích bởi trình giám sát luồng gây ra sự giảm tương ứng về độ chính xác của thơng tin được lưu trữ trong bộ nhớ cache của trình giám sát luồng.
Cách cấu hình Netflow sẽ được trình bày trong phần sau.
4.1.2. IPFIX
IPFIX, viết tắt của cụm từ “Internet Protocol Flow Information Export”, là một tiêu chuẩn IETF được tạo ra dựa trên nhu cầu về một tiêu chuẩn xuất luồng thông tin lưu lượng mạng chung giữa các thiết bị. Tiêu chuẩn này dùng để giám sát và xuất luồng
thông tin qua các router, switch và các thiết bị mạng khác. IPFIX là một tiêu chuẩn phổ biến, hoạt động tốt trên hầu hết các thiết bị.
Giao thức IPFIX xác định thông tin luồng IP, sau đó được định dạng và chuyển từ Exporter sang Collector. Trước đây, nhiều nhà khai thác mạng dữ liệu đang dựa vào công nghệ NetFlow độc quyền của Cisco Systems để xuất thông tin luồng lưu lượng.
Các yêu cầu về tiêu chuẩn IPFIX ban đầu đã được ghi lại trong RFC 3917. Cisco NetFlow V9 là cơ sở cho IPFIX. Các thông số kỹ thuật cơ bản cho IPFIX được ghi lại trong RFC 7011 đến RFC 7015 và RFC 5103.
IPFIX xác định các phần tử khác nhau được xếp thành 12 nhóm tùy theo khả năng ứng dụng của chúng:
• Định danh
• Đo lường và xuất cấu hình quy trình
• Đo lường và xuất thống kê quy trình
• Các trường tiêu đề IP
• Các trường tiêu đề truyền tải
• Các trường tiêu đề IP phụ
• Thuộc tính gói có nguồn gốc
• Thuộc tính luồng tối thiểu/tối đa
• Dấu thời gian luồng
• Bộ đếm theo luồng
• Các thuộc tính luồng khác
• Đệm
IPFIX được coi là một giao thức đẩy. Mỗi thiết bị hỗ trợ IPFIX thường xuyên gửi các bản tin IPFIX đến các bộ thu được định cấu hình mà khơng có bất kỳ sự tương tác nào của bộ thu. Người gửi kiểm sốt hầu hết việc điều phối các gói dữ liệu IPFIX. IPFIX giới thiệu khái niệm về các mẫu, tạo nên các gói dữ liệu luồng này tới máy thu. IPFIX cũng cho phép người gửi sử dụng các kiểu dữ liệu do người dùng xác định trong các thư của nó. IPFIX giống giao thức truyền điều khiển luồng (SCTP) làm giao thức lớp truyền tải của nó; tuy nhiên, nó cũng hỗ trợ việc sử dụng các giao thức TCP hoặc UDP.
Các bản ghi NetFlow của Cisco truyền thống thường được xuất qua các gói UDP. Địa chỉ IP của bộ thu NetFlow và cổng UDP đích phải được định cấu hình trên thiết bị
gửi. Tiêu chuẩn NetFlow (RFC 3954) không chỉ định một cổng lắng nghe NetFlow cụ thể. Cổng UDP tiêu chuẩn hoặc phổ biến nhất được NetFlow sử dụng là cổng UDP 2055, nhưng các cổng khác, chẳng hạn như 9555, 9995, 9025 và 9026, cũng có thể được sử dụng. Cổng UDP 4739 là cổng mặc định được IPFIX sử dụng.
4.1.2.1. Kiến trúc IPFIX
IPFIX sử dụng thuật ngữ kiến trúc sau:
• Quá trình đo (MP): Tạo bản ghi luồng từ các gói tại một điểm quan sát. Nó đánh dấu thời gian, lấy mẫu và phân loại các luồng. MP cũng duy trì các luồng trong cấu trúc dữ liệu nội bộ và chuyển thơng tin luồng hồn chỉnh đến quy trình xuất (EP).
• Quy trình xuất (EP): Gửi hồ sơ luồng qua IPFIX từ một hoặc nhiều MP tới một hoặc nhiều quy trình thu thập (CP).
• Quy trình thu thập (CP): Nhận bản ghi qua IPFIX từ một hoặc nhiều EP.
IPFIX Trung gian
IPFIX giới thiệu khái niệm về trung gian. Trung gian thu thập, chuyển đổi và xuất lại các luồng IPFIX cho một hoặc nhiều quy trình thu thập. Mục đích chính của chúng là cho phép liên kết các thông báo IPFIX. Trung gian bao gồm một quy trình trung gian (ImP) cho phép thực hiện những điều sau:
• Để dữ liệu NetFlow được giữ ẩn danh
• Để dữ liệu NetFlow được tổng hợp
• Lọc dữ liệu NetFlow
• Proxy của lưu lượng web
• Dịch IP
Mẫu IPFIX
Mẫu IPFIX mô tả cấu trúc của bản ghi dữ liệu luồng trong tập dữ liệu. Mẫu được xác định bằng ID mẫu, tương ứng với ID tập hợp trong tiêu đề tập hợp của tập dữ liệu. Các mẫu bao gồm các cặp "phần tử thông tin (IE) và độ dài". IE cung cấp thông tin loại trường cho mỗi mẫu. Một mơ hình thơng tin tiêu chuẩn bao gồm gần như tất cả các trường hợp sử dụng thu thập luồng phổ biến, chẳng hạn như sau:
• Bộ 5 truyền thống (địa chỉ IP nguồn, địa chỉ IP đích, cổng nguồn, cổng đích và giao thức IP)
• Xử lý gói như địa chỉ IP next-hop IPv4, ASN đích BGP và các địa chỉ khác.
• Dấu thời gian đến độ phân giải nano-giây
• Các trường tiêu đề IPv4, IPv6, ICMP, UDP và TCP
• Các trường tiêu đề IP phụ như địa chỉ MAC nguồn và mạng cục bộ không dây (WLAN) mã định danh bộ dịch vụ (SSID)
• Nhiều bộ đếm khác nhau (số delta gói, tổng số kết nối, bộ đàm hàng đầu, v.v.)
• Thơng tin siêu dữ liệu về luồng như giao diện đi vào và đi ra, hướng luồng cũng như thông tin chuyển tiếp và định tuyến ảo (VRF)
4.1.2.2. Giới thiệu về giao thức truyền điều khiển luồng (SCTP)
IPFIX sử dụng SCTP, cung cấp dịch vụ truyền gói được thiết kế để hỗ trợ một số tính năng khác ngoài khả năng TCP hoặc UDP. Các tính năng này bao gồm các tính năng sau:
• Luồng gói
• Mở rộng độ tin cậy từng phần (PR)
• Phân phối gói hoặc bản ghi khơng theo thứ tự
• Đa phân lớp truyền tải
Nhiều người gọi SCTP như một máy trạng thái đơn giản hơn (so với các tính năng được cung cấp bởi TCP) với một danh mục lựa chọn các tính năng. PR-SCTP cung cấp một phương tiện truyền tải đáng tin cậy với cơ chế bỏ qua việc truyền lại gói. Nó cho phép nhiều ứng dụng với các yêu cầu độ tin cậy khác nhau chạy trên cùng một liên kết luồng. Nói cách khác, nó kết hợp độ tin cậy cao nhất của UDP trong khi vẫn cung cấp khả năng kiểm soát tắc nghẽn giống TCP. SCTP đảm bảo rằng các mẫu IPFIX được gửi đi một cách đáng tin cậy bằng cách cải thiện độ trễ đầu cuối. RFC 6526 giới thiệu các tính năng bổ sung như đếm mẫu bị loại bỏ với độ tin cậy một phần và tái sử dụng mẫu nhanh chóng.
4.2. Cơng cụ phân tích và trực quan luồng lưu lượng 4.2.1. Solarwinds Netflow Traffic Analyzer 4.2.1. Solarwinds Netflow Traffic Analyzer
Solarwinds NetFlow Traffic Analyzer (NTA) là một công cụ phân tích băng thông và lưu lượng mạng, hỗ trợ các công nghệ flow khác nhau bao gồm NetFlow, J-Flow, IPFIX và NetStream.
Hình 4.3 Giao diện của Solarwinds Netflow Traffic Analyzer
Solarwinds NTA có thể cung cấp cái nhìn sâu sắc về việc sử dụng băng thơng trên mạng, như địa chỉ IP hoặc ứng dụng nào đang tiêu thụ nhiều băng thông nhất tại một thời điểm nhất định. Nó có thể phân tích các mẫu trong lưu lượng truy cập ở một khoảng thời gian nhất định, do đó nó có khả năng thực hiện điều tra lưu lượng mạng. Solarwinds NTA có giá khởi điểm là $1.875, theo dõi được 100 ́u tố (có bản dùng thử miễn phí trong 30 ngày). Một lưu ý khác là Solarwinds NTA cần tích hợp với Solarwinds Network Performance Monitor (NPM) để thực hiện chức năng của mình. Điều này có nghĩa là phải tính cả chi phí (và những yêu cầu cần thiết) của Solarwinds NPM cùng với chi phí của Solarwinds NTA. Solarwinds NPM cũng có bản dùng thử miễn phí trong 30 ngày và chi phí để mua giấy phép có giá từ $2.895, theo dõi được 100 yếu tố.
Giám sát băng thông (Bandwidth monitoring): Giám sát việc sử dụng băng thơng
theo nhóm ứng dụng, giao thức và địa chỉ IP. Giám sát của NetFlow của Cisco NetFlow, Jiper Flow, sFlow, Huawei NetStream và dữ liệu luồng IPFIX xác định ứng dụng nào và các giao thức đang tiêu tốn nhiều băng thơng nhất.
Phân tích lưu lượng mạng (Network traffic analysis): Phân tích các mẫu lưu lượng
truy cập mạng qua tháng, ngày hoặc phút bằng cách đi sâu vào bất kỳ phần tử mạng nào. NetFlow Traffic Analyzer truy cập NetFlow thu thập dữ liệu lưu lượng truy cập, tương ứng với định dạng có thể sử dụng và hiển thị nó cho người dùng trong giao diện dựa trên web để theo dõi lưu lượng mạng.
Trang tổng quan phân tích hiệu suất PerfStackTM (PerfStackTM performance analysis
dashboard): PerfStackTM chuyên tổng hợp tương quan dữ liệu mạng. Tăng tốc xác định
nguyên nhân gốc bằng cách kéo và thả (dragging-and-dropping) các chỉ số hiệu suất mạng trên một tiến trình chung cho tương quan trực quan theo thời gian trên tất cả dữ liệu mạng của chúng ta.
Tối ưu hóa CBQoS policy (CBQoS policy optimization): Đo lường hiệu quả của các
mức lưu lượng truy cập trước và sau chính sách trên mỗi bản đồ lớp để xác định xem các chính sách CBQoS policy có hoạt động như kế hoạch hay không. Nếu doanh nghiệp của chúng ta dựa vào VoIP, thương mại điện tử hoặc các ứng dụng dựa trên Cloud khác, giám sát lưu lượng mạng sẽ giúp xác nhận rằng lưu lượng truy cập được ưu tiên chuyển thông suốt qua mạng.
Nhận dạng luồng truy cập độc hại hoặc không đúng định dạng (Malicious or malformed traffic flow identification): Tăng cường bảo mật với khả năng hiển thị lưu
lượng truy cập độc hại hoặc không đúng định dạng với giám sát cổng 0. Theo dõi TCP/UDP của lưu lượng truy cập cổng 0 làm nổi bật bất kỳ luồng nào hướng đến cổng 0 để chúng ta có thể nhanh chóng xác định lưu lượng truy cập xâm nhập trái phép.
Báo cáo lưu lượng truy cập mạng tùy chỉnh (Customizable network traffic reports):
Tạo, lên lịch và phân phối các báo cáo phân tích lưu lượng mạng và băng thông chuyên sâu chỉ với vài cú nhấp chuột. Đừng chi tiền cho băng thơng bổ sung nếu nó khơng cần