Transcript IPFIX

IPFIXの勉強資料
6月26日
システム情報科学府情報工学専攻
大倉圭介
目次







SMNP
Flow
Net Flow
sFlow
Sampling
IPFIX
補足
SNMP



Simple Network Management Protocol
インターフェースベースのネットワーク管理
SNMPではネットワークの以下の情報を取
得することが可能




トラフィック量
エラー数
CPU/メモリの使用率,状態
ソフトウェア例:MRTG,HP/OV
引用元:http://www.computerworld.jp/news/net/49812-1.html
SNMPの問題点

SNMPによって取得できる情報は基本的にOSI7
層モデルの第2層の情報まで




どんなアプリケーションのデータが流れているのかわ
からない
どこからどこまでトラフィックがながれているのかわか
らない
DDos攻撃やマルウェアの侵入に関する情報を十分に
得られない
インターフェースベースからフローベースへ
引用元:http://www.computerworld.jp/news/net/49812-1.html
Flow

IP Flow



一定時間に観測点を通るIPパケットの集合
特定のフローに属する全てのパケットは同一
のプロパティーの集合をもつ
観測点


IPパケットを観測できるネットワーク内の場所
例:ルーターのポート
引用元:http://www.computerworld.jp/news/net/49812-1.html
フローベースのネットワーク管理

エクスポータ


ルータやスイッチなどのフロー情報を吐き出す
ネットワーク機器
コレクタ

フロー情報を受け取って様々な分析をする機
器
引用元:http://www.computerworld.jp/news/net/49812-1.html
フローベースのネットワーク管理
引用元:http://www.computerworld.jp/news/net/49812-1.html
フローベースのネットワーク管理

サービスプロバイダ







アプリケーションの把
握
ピアリングの最適化
セキュリティー
QoS
将来予測
課金
etc

エンタープライズ





アプリケーションの把
握
ユーザ挙動の把握
攻撃の検知
課金
etc
引用元:
http://www.soi.wide.ad.jp/class/20060031/slides/51/index_1.html
Net Flow

シスコシステムズが開発
エクスポータでフロー情報をキャッシュする

フラッシュする必要がある





Inactive Timer(デフォルト 15秒)
Active Timer(デフォルト 30分)
TCP FIN or RST
キャッシュが一杯になったとき
引用元:http://www.soi.wide.ad.jp/class/20060031/slides/51/index_1.html
Net Flow
引用元:http://www.computerworld.jp/news/net/49812-2.html
Net Flow
バージョン
1
5
7
8
9
特徴
最初のバージョン
現在ほとんど使用されてない
BGP ASとフローシーケンスをサポート
最も多く使われている
Catalyst Switchシリーズのため拡張
アグリゲーションをサポート
テンプレートベース
IPFIXのベース
引用元:
http://www.soi.wide.ad.jp/class/20060031/slides/51/index_1.html
Net Flow V5 フローレコード
0
31
15 16
送信元IPアドレス
送信先IPアドレス
next hop
入力インターフェース番号
出力インターフェース番号
パケット数
オクテット数
最初にフローが観測されたsysuptime
最後にフローが観測されたsysuptime
送信元ポート番号
パディング
TCPフラグ
送信元AS番号
送信元ネットマスク
送信先ネットマスク
送信先ポート番号
ToS
プロトコル
送信先AS番号
パディング
引用元:http://www.soi.wide.ad.jp/class/20060031/slides/51/index_1.html
NetFlow v9

バージョン9は、エクスポートフォーマットに
テンプレートを使用している



IPパケットのフローを柔軟性が高く、拡張性に
富んだ方法で観測することができる
必要なデータのみをエクスポートできるので、
ネットワーク負荷を軽減できる
テンプレート

データセットの設計書のようなもの(C言語でい
う構造体のようなもの)
引用元:http://www.soi.wide.ad.jp/class/20060031/slides/51/index_1.html
NetFlow v9

エクスポートされるフローセットの種類

データ・フローセット

フローデータ・レコード


オプション・データ・レコード


NetFlowの処理設定など、フロー以外の要求された情報
テンプレート・フローセット


エクスポートされたフローのデータ部分
何をエクスポートするのかを定義したフローセット
オプション・テンプレート・フローセット


何をエクスポートするのかを定義したフローセット
フロー自体ではなく、NetFlowの処理設定や処理固有
のデータを提供するために利用される
引用元:http://www.soi.wide.ad.jp/class/20060031/slides/51/index_1.html
sFlow


米国インモン社が開発
インターフェースから出て行くすべてのパ
ケットを一定の割合でサンプリングし、その
パケットの先頭の数バイト(通常は256バ
イト)をコレクタにエクスポートする
引用元:http://www.computerworld.jp/news/net/49812-2.html
sFlow
引用元:http://www.computerworld.jp/news/net/49812-2.html
sFlow
バージョン
2
4
5
特徴
最初のバージョン
現在ほとんど使用されてない
BGP communityの追加
CPU/メモリ使用率、BGPネクストホップ、
MPLS、NATサポート追加
Vendor-specificレコードで拡張可能
引用元:http://www.soi.wide.ad.jp/class/20060031/slides/51/index_1.html
サンプリング

目的



エクスポートのCPUやメモリの節約
ネットワーク帯域の節約
コレクターの性能の節約
引用元:http://www.soi.wide.ad.jp/class/20060031/slides/51/index_1.html
サンプリング方式

Systematic Sampling



Count-based
Time-based
Random Sampling


n-out-of-N
Uniform of Non-Uniform Probablistic
引用元:http://www.soi.wide.ad.jp/class/20060031/slides/51/index_1.html
サンプリング

最適なサンプリング値は?



フローの使用目的によって異なる
ハードウェアアシストの有無
サンプリングによって失われるもの



フロー数
スキャン等の振るまい
etc
引用元:http://www.soi.wide.ad.jp/class/20060031/slides/51/index_1.html
IPFIX




IP Flow Information eXport
Net Flow v9がベース
IPsec/TLSでフロー情報をエクスポート可
能
テンプレートに対応
引用元:http://www.soi.wide.ad.jp/class/20060031/slides/51/index_1.html
IPFIXアーキテクチャ
Process 1
Observation
Collector
Point 1
・・・
Process m
Process
Observation
・・・
Metering
Exporting
Metering
Point m
パケット
引用元:http://www.soi.wide.ad.jp/class/20060031/slides/51/index_1.html
Metering Process


フローレコードを発生させるプロセス
Metering Processは以下の操作で構成さ
れる




パケットヘッダキャプチャ
タイムスタンピング
サンプリング
フローレコードの分類と維持
引用元:http://www.soi.wide.ad.jp/class/20060031/slides/51/index_1.html
IPFIX の新機能(NetFlow V9と比較して)


SCTP/PR-SCTPが必須のトランスポートになり、
UDP・TCPがオプションに
フィールド指定フォーマットの導入




ベンダー拡張が可能
可変長IEのサポート
テンプレートを明示的に消去するTemplate
Withdraw Messageの導入
セキュリティー

IPsec or TLS (オプション)
引用元:http://www.soi.wide.ad.jp/class/20060031/slides/51/index_1.html
参考文献

参考HP




http://www.computerworld.jp/news/net/49
812-1.html
http://itpro.nikkeibp.co.jp/article/COLUMN/
20070130/259982/?ST=nettech
http://www.soi.wide.ad.jp/class/20060031/
slides/51/index_1.html
http://www.ietf.org/html.charters/ipfixcharter.html