这个由供应商编写的技术入门已经由Network World编辑,以消除产品推广,但读者应该注意,它可能有个足球雷竞技app会倾向于提交者的方法。
通过互联网连接到云服务迅速增长,网络攻击变得更加雄伟,需要改善交通能见度的需求。在过去,第7层应用意识和恶意软件检测能力是在进行流量分析的流量捕获和数据包捕获之间的主要分隔符,但今天决定最常是NetFlow代替数据包捕获。
直到Netflow V9的释放,流量限制为大约20个公共字段。丢弃其余的数据包内容。NetFlow V9可用于导出数据包中的任何详细信息,包括整个数据报。什么使流技术对原始数据包具有吸引力是能够将现有路由器,交换机和服务器转换为分布式收集点。
NetFlow v9引入后不久,路由器和防火墙供应商开始执行深度包检查(DPI),以识别隐藏在端口上的应用程序,如TCP端口80。在DPI识别出正确的应用程序之后,NetFlow导出中包含了这些附加信息。在DPI和NetFlow v9引入之前,识别正确的第7层应用程序(如Skype、Citrix、Facebook)是不可能的。今天,包括思科、戴尔-索尼克沃尔、帕洛阿尔托和nBox在内的一些供应商都在他们的流输出中提供了第7层可见性。
由于当今流量出口中可用的大量细节,主要路由器和防火墙供应商使数据包捕捉不太必要。现在供应商正在远离Netflow V9,截至2013年7月11日,IETF被称为IETF的NetFlow标准IPFIX..一些供应商现在同时支持NetFlow v9和IPFIX。
在2012年分析中,Gartner组得出结论,流程分析应在80%的时间内完成,并且应使用探针的数据包捕获应当20%的时间。但有些供应商还包括流程详细信息,例如往返时间,丢包,数据包大小,重传,抖动,HTTP主机,URL等等。甚至可以使用NetFlow和IPFIX这样的数据包采样。这些细节允许网络分析师遵循流程并通过连接的跳跃性能观察跳跃。当在路径中引入问题(例如,当流程的质量可以映射端到端时,恰好地隔离问题这一切都是为netflow或ipfix完成的,而不是数据包分析。
鉴于此,应使用时间流分析的百分比可能接近90%或更多。当您考虑网络威胁检测流量的有用性时,这尤其如此。
netflow威胁检测
流量技术的网络威胁检测主要集中在行为监控上。行为监控不像防火墙那样执行深度包检查(DPI),基于单个孤立的签名匹配触发事件,而是随着时间的推移监视奇怪的行为。奇怪的行为会触发索引的小幅增加,随着时间的推移,索引可能会增加或减少。如果任何一台主机的索引上升太快并超过了一个可配置的阈值,则可以采取措施。复杂的恶意软件通常被识别为行为监控-防火墙不能提供这种智能。
行为监控仔细地监视网络上每台主机的流量,带有威胁检测的NetFlow分析器为安全管理员提供了一种额外的机制(即索引)来识别感染恶意软件的主机。
NetFlow方法的威胁检测示例包括:
•主机信誉查询
•观察TCP标志以发现各种类型的网络扫描
•将当前行为与基线进行比较
•计算流量比率以及字节/数据包计数的唯一目的地
在严重程度时,上述算法可以携带不同的权重。发现违反一个或多个算法的主机将最终获得更高的索引。
由于NetFlow和IPFIX在大多数企业网络上都可以随时可用,因此很容易获得到网络的所有角落的可见性。使用数据包探测获得相同的可见性和认识在大多数环境中只是在苛刻的成本上。这两者都是如此,因为探头的初始成本和维护部署硬件所需的男子小时。相比之下,流动技术在威胁检测中提供了巨大的价值,并在需要调查潜在威胁时提供巨大的好处。
想象一下,每一个流量输出设备都是一个网络安全摄像头——就像一个百货商店,在商店的几十个位置的天花板上安装了安全摄像头。如果商店的安保人员对顾客产生怀疑,他们会首先转向摄像头,实时监控顾客在过道里的活动。他们也可以通过过去的视频片段来观察嫌疑犯。
因此,即使商店升降机被观察员工捕获而不是观看安全摄像头的人,过去几乎总是占调查的一部分。在存档NetFlow和IPFIX数据以供将来引用相同的情况下也是如此。流量技术是调查应用程序性能和潜在安全问题的大多数组织的第一解决方案。流量的每个路由器,交换机,服务器和防火墙都被认为是安全摄像头和证据。
捕获数据包的需求并没有消失,但是随着流技术提供的改进的洞察力,需求肯定在减少。流技术不仅覆盖了更多的网络区域,而且使收集器更容易聚合,以便显示主机、应用程序、协议、接口等方面的顶级报告。捕获包在很大程度上是一种工程实践,最好留给需要调优代码特定区域的应用程序开发人员。需要明确的是,包捕获并没有消失,在大多数情况下,可以通过流数据确定问题,而不需要在物理位置插入探针。
现在是考虑NetFlow v9和IPFIX的时候了——您的现有硬件很可能支持它。以思科路由器为例,它支持应用可见性和控制(AVC),它提供了这里讨论的所有细节。尽管供应商的实现在导出的指标方面有所不同,但未能收集流数据可能会妨碍IT团队最小化应用程序性能问题的平均了解时间(MTTK)和通过防火墙的网络威胁。
这个风险值得冒吗?
Plixer International(http://www.plix.com/)是基于审查器Netflow的网络流量报告和检测解决方案的领先提供商,新发布的书的作者释放了NetFlow和IPFix的力量。