Tìm hiểu về giao thức netflow và sử dụng netflow trong việc giám sát mạng
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.74 MB, 53 trang )
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƢỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
--------------------------------------Nguyễn Công Trung
TÌM HIỂU VỀ GIAO THỨC NETFLOW VÀ SỬ DỤNG NETFLOW
TRONG VIỆC GIÁM SÁT MẠNG IPBN CỦA VIETTTEL
Chuyên ngành: Kỹ thuật máy tính và truyền thông
LUẬN VĂN THẠC SĨ KĨ THUẬT
Ngành Kỹ thuật máy tính và truyền thông
NGƢỜI HƢỚNG DẪN KHOA HỌC:
TS. Nguyễn Tuấn Dũng
Hà Nội – 2015
MỤC LỤC
LỜI CAM ĐOAN ....................................................................................................... 3
LỜI CẢM ƠN ............................................................................................................. 4
DANH MỤC CÁC TỪ VIẾT TẮT ............................................................................ 5
DANH MỤC HÌNH ẢNH .......................................................................................... 6
DANH MỤC BẢNG .................................................................................................. 8
LỜI NÓI ĐẦU ............................................................................................................ 9
Lý do chọn đề tài ..................................................................................................... 9
Lịch sử nghiên cứu .................................................................................................. 9
Tóm tắt nội dung ................................................................................................... 10
Phƣơng pháp nghiên cứu....................................................................................... 10
CHƢƠNG 1: GIỚI THIỆU VỀ NETFLOW ............................................................ 11
1.1
Giới thiệu về các giao thức giám sát mạng ................................................. 11
1.1.1
ICMP .................................................................................................... 11
1.1.2
SNMP ................................................................................................... 11
1.1.3
Netflow ................................................................................................. 12
1.1.4
Các giao thức quản lý, quản trị các thiết bị mạng ................................ 12
1.2
1.1.4.1
Telnet ...................................................................................................... 12
1.1.4.2
SSH ......................................................................................................... 12
1.1.4.3
RDP ........................................................................................................ 12
1.1.4.4
Syslog ..................................................................................................... 13
Giao thức SNMP ......................................................................................... 13
1.2.1
Ƣu điểm trong thiết kế của SNMP ....................................................... 13
1.2.2
Nhƣợc điểm của SNMP ....................................................................... 14
1.3
Giao thức Netflow ....................................................................................... 14
1.3.1
Các phiên bản của Netflow .................................................................. 15
1.3.2
Hoạt động của Netflow ........................................................................ 16
1.3.3
Cấu trúc bản ghi của Netflow v9.......................................................... 17
1.3.4
Cơ chế lựa chọn gói tin Netflow trong thiết bị .................................... 19
1.4
Đánh giá ƣu, nhƣợc của Netflow ................................................................ 19
1.4.1
Ƣu điểm ................................................................................................ 19
1.4.2
Nhƣợc điểm .......................................................................................... 21
CHƢƠNG 2: GIỚI THIỆU VỀ PHẦN MỀM NFDUMP/NFSEN .......................... 23
2.1
Giới thiệu các phần mềm giám sát mạng sử dụng Netflow ........................ 23
2.2
Phần mềm Nfdump ..................................................................................... 25
1
2.2.1
Quá trình phân tích xử lý dữ liệu với Nfdump ..................................... 26
2.2.2
Quá trình xử lý dữ liệu của Nfcapd ...................................................... 27
2.2.3
Quá trình xử lý dữ liệu Netflow của Nfdump ...................................... 27
2.2.4
Dữ liệu đầu ra của Nfdump .................................................................. 27
2.2.5
Ƣu nhƣợc điểm của Nfdump ................................................................ 30
2.3
2.2.5.1
Ƣu điểm .................................................................................................. 30
2.2.5.2
Nhƣợc điểm ............................................................................................ 31
Phần mềm Nfsen ......................................................................................... 31
2.3.1
Giới thiệu chung ................................................................................... 31
2.3.2
Xử lý dữ liệu Netflow với Nfsen.......................................................... 32
2.3.3
Ƣu nhƣợc điểm của Nfsen.................................................................... 34
2.3.3.1
Ƣu điểm .................................................................................................. 34
2.3.3.2
Nhƣợc điểm ............................................................................................ 34
CHƢƠNG 3: MÔ HÌNH NGHIÊN CỨU ................................................................ 35
3.1
Giới thiệu về mạng IPBN............................................................................ 35
3.2
Mô hình nghiên cứu .................................................................................... 38
3.3
Kết quả ........................................................................................................ 39
3.3.1
Giao diện hiển thị của hệ thống............................................................ 39
3.3.2
Sử dụng Nfsen trong việc giám sát, phân tích và đánh giá hệ thống ... 42
3.4
3.3.2.1
Xác định các thông số dữ liệu Netflow đi qua nút mạng ....................... 42
3.3.2.2
Xác định lƣu lƣợng bất thƣờng của hệ thống ......................................... 45
Kết luận ....................................................................................................... 48
KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN CỦA LUẬN VĂN ................................ 49
Kết quả của luận văn ............................................................................................. 49
Hạn chế của luận văn ............................................................................................ 49
Hƣớng phát triển của luận văn .............................................................................. 49
TÀI LIỆU THAM KHẢO ........................................................................................ 50
PHỤ LỤC ................................................................................................................. 51
Phụ lục 1: Cài đặt rrdtool ...................................................................................... 51
Phụ lục 2: Cài đặt Nfdump .................................................................................... 51
Phụ lục 3: Cài đặt Nfsen........................................................................................ 51
2
LỜI CAM ĐOAN
Tôi xin cam đoan đề tài nghiên cứu của tôi hoàn toàn do tôi tự làm dƣới sự hƣớng
dẫn của thầy giáo TS Nguyễn Tuấn Dũng Những ết quả tìm hiểu và nghiên cứu trình
bày trong luận văn là hoàn toàn trung thực và chƣa từng đƣợc công bố trong bất cứ
công trình nào Nếu xảy ra bất cứ điều hông đúng nhƣ những lời cam đoan trên, tôi
xin chịu hoàn toàn trách nhiệm trƣớc Viện và Nhà trƣờng.
3
LỜI CẢM ƠN
Lời đầu tiên, em xin chân thành cảm ơn trƣờng đại học Bách Khoa Hà Nội,
viện Công nghệ Thông tin – Truyền thông, chuyên ngành Kỹ thuật Máy tính và
Truyền thông và toàn thể các thầy cô đã ân cần dạy dỗ, chỉ bảo, định hƣớng nghiên
cứu cho em trong suốt một năm học vừa qua, truyền đạt cho chúng em những kiến
thức quý báu.
Em xin chân thành cảm ơn Tiến sỹ Nguyễn Tuấn Dũng đã dành nhiều tâm
huyết, kinh nghiệm của thầy để chỉ dẫn, định hƣớng nghiên cứu cũng nhƣ luôn luôn
góp ý cho em để hoàn thành đề tài luận văn này
Cuối cùng em cũng xin gửi lời cảm ơn tới gia đình, những ngƣời đã luôn động
viên và tạo mọi điều kiện tốt cho em học tập, nghiên cứu và tới những ngƣời bạn đã
giúp đỡ em trong quá trình học tập cũng nhƣ hoàn thành đề tài luận văn
Em xin chân thành cảm ơn!
4
DANH MỤC CÁC TỪ VIẾT TẮT
ASCII
American Standard Code for Information Interchange
CPU
Central Processing Unit
DDoS
Distributed Denial of Service
DGW
Domestic Gateway
ICMP
Internet Control Message Protocol
IGW
International Gateway
IPBN
Internet Protocol Backbone Network
LACP
Link Aggregation Control Protocol
LAN
Local Area Network
LDP
Label Distribute Protocol
MAC
Media Access Control
MPLS
Multiprotocol Label Switching
QoS
Quality of Service
RAM
Random Access Memory
RDP
Remote Desktop Protocol
RFC
Request for Comments
SNMP
Simple Network Management Protocol
SSH
Secure Shell
TCP/IP
Transmission Control Protocol/Internet Protocol
Telnet
Terminal Network
WAN
Wide Area Network
5
DANH MỤC HÌNH ẢNH
Hình 1: Cấu trúc bản ghi Netflow ............................................................................ 17
Hình 2: Cấu trúc phần mở đầu của bản ghi Netflow ................................................ 17
Hình 3: Các trƣờng cơ bản của Template FlowSet .................................................. 18
Hình 4: Quá trình xử lý dữ liệu với Nfdump ............................................................ 26
Hình 5: Quá trình xử lý các tập tin dữ liệu với Nfdump .......................................... 27
Hình 6: Dữ liệu đầu ra của Nfdump ......................................................................... 27
Hình 7: Cấu trúc thƣ mục mặc định hi cài đặt Nfsen ............................................. 32
Hình 8: Giao diện hiển thị theo tab của Nfsen ......................................................... 32
Hình 9: Giao diện xử lý dữ liệu Netflow .................................................................. 33
Hình 10: Các bƣớc xử lý cảnh báo của Nfsen .......................................................... 34
Hình 11: Mô hình tổng quan của mạng IPBN .......................................................... 35
Hình 12: Mô hình nghiên cứu và triển hai ............................................................. 38
Hình 13: Giao diện home.......................................................................................... 39
Hình 14: Lƣu lƣợng mạng qua các thiết bị ............................................................... 40
Hình 15: Giao diện tab Flows của Graphs................................................................ 41
Hình 16: Giao diện hiển thị tab Detail...................................................................... 42
Hình 17: Sử dụng câu lệnh Nfdump với Nfsen ........................................................ 42
Hình 18: Liệt ê danh sách các luồng dữ liệu đi qua thiết bị mạng ......................... 43
Hình 19: Tính năng hiển thị thông tin của nút mạng ................................................ 43
Hình 20: Liệt ê danh sách 10 lƣu lƣợng lớn nhất ................................................... 44
Hình 21: Liệt ê danh sách các dịch vụ có cổng ết nối nhiều nhất ........................ 44
Hình 22: Mô tả chi tiết các thành phần của lƣu lƣợng mạng qua thiết bị P1_HNI .. 45
Hình 23: Xác định hoảng thời gian có lƣu lƣợng ICMP lớn nhất .......................... 46
Hình 24: Thông tin chi tiết địa chỉ IP sử dụng giao thức ICMP .............................. 47
6
7
DANH MỤC BẢNG
Bảng 1: Danh sách các phiên bản của Netflow ........................................................ 15
Bảng 2: Bảng mô tả các trƣờng của phần header trong bản ghi của Netflow .......... 18
Bảng 3: Các trƣờng cơ bản của Template FlowSet .................................................. 19
Bảng 4: Bảng so sánh một số tính chất của SNMP và Netflow ............................... 22
Bảng 5: Danh sách các phần mềm giám sát mạng sử dụng Netflow ....................... 25
Bảng 6: Các định dạng với tùy trọn fmt ................................................................... 30
8
LỜI NÓI ĐẦU
Lý do chọn đề tài
Ngày nay, khi khoa học phát triển, nhu cầu về thông tin của con ngƣời ngày
càng tăng cao và đặc biệt là thông tin qua mạng internet Để đảm bảo chất lƣợng dịch
vụ, các nhà cung cấp ngoài việc tăng dung lƣợng đƣờng truyền còn phải đảm bảo chất
lƣợng dịch vụ Để giải quyết vấn đề trên thì các nhà cung cấp dịch vụ phải có hệ thống
giám sát chặt chẽ toàn bộ lƣu lƣợng trong mạng.
Việc giám sát lƣu lƣợng mạng theo giao thức SNMP chỉ đảm bảo cho việc
giám sát lƣu lƣợng tổng thể chứ hông giám sát đƣợc trong luồng lƣu lƣợng đó báo
gồm những gì và chiếm bao nhiêu phần trong tổng thể lƣu lƣợng. Việc ra đời của
Netflow nhằm phục vụ cho việc giám sát chi tiết các thành phần trong toàn bộ luồng
lƣu lƣợng mạng.
Viettel là một trong những nhà cung cấp dịch vụ di động và cố định hàng đầu
tại Việt nam Để đáp ứng các nhu cầu và yêu cầu về chất lƣợng ngày càng tăng thì
việc quy hoạch mạng lƣới là rất quan trọng Để làm đƣợc điều đó thì việc giám sát và
đánh giá mạng lƣới hiện tại là vô cùng quan trọng.
Với thời gian nghiên cứu và sự hƣớng dẫn của thầy giáo, học viên đã hoàn
thành đề tài luận văn với những nội dung đề ra. Tuy nhiên do thời gian hạn chế, vấn
đề nghiên cứu rất mới với lƣợng kiến thức lớn và khó, do vậy không thể tránh đƣợc
những thiếu sót, kính mong nhận đƣợc sự đóng góp ý iến của thầy cô và các bạn.
Lịch sử nghiên cứu
Giao thức SNMP sử dụng trong giám sát hệ thống mạng truyền thống không
đáp ứng đƣợc các yêu cầu mới. Với SNMP, chúng ta chỉ biết lƣu lƣợng tổng thể mà
không biết đƣợc chi tiết các thành phần trong đó và tỷ lệ của các thành phần.
Netflow ra đời để bổ sung cho những nhƣợc điểm của SNMP. Nó cho phép
giám sát đƣợc chi tiết các thành phần trong luồng lƣu lƣợng mạng.
Mục tiêu của luận văn
- Mục tiêu chính của luận văn là nghiên cứu giao thức Netflow và sử dụng
Netflow trong việc giám sát mạng IPBN tại Viettel.
- Nghiên cứu giáo thức Netflow và phần mềm Nfdump, Nfsen trong việc giám
sát lƣu lƣợng mạng.
9
- Xây dựng và triển khai hệ thống giám sát lƣu lƣợng mạng IPBN của Viettel
dựa trên giao thức Netflow và phần mềm Nfdump, Nfsen.
Tóm tắt nội dung
-
Tìm hiểu về giao thức Netflow, đánh giá ƣu nhƣợc điểm trong việc giám sát
lƣu lƣợng mạng.
-
Tìm hiểu sử dụng Netflow để giám sát mạng lƣới. Tập trung nghiên cứu và
triển khai phần mềm Nfdump/Nfsen trong việc xây dựng hệ thống giám sát cho
mạng IPBN của Viettel.
Phƣơng pháp nghiên cứu
Thực hiện cài đặt phần mềm Nfdump và Nfsen trên hệ điều hành Redhat và sử
dụng Netflow trong việc giám sát mạng IPBN của Viettel Qua đó đánh giá đƣợc các
ƣu nhƣợc điểm của Netflow trong việc giám sát mạng lƣới.
10
CHƢƠNG 1: GIỚI THIỆU VỀ NETFLOW
1.1 Giới thiệu về các giao thức giám sát mạng
1.1.1 ICMP
ICMP (Internet Control Message Protocol) – Giao thức điều khiển truyền tin
trên mạng. Việc định tuyến qua các mạng sử dụng giao thức điều khiển truyền tin
ICMP để gửi thông báo làm những công việc sau: điều khiển, thông báo lỗi và chức
năng thông tin cho TCP/IP
Thông thƣờng ICMP đƣợc gửi khi một gói tin không thể đi tới đích, hoặc một
thiết bị mạng hông còn đủ chỗ nhớ để nhận thêm gói tin hay sử dụng thiết bị mạng
hác để truyền thông tin theo một đƣờng tối ƣu hơn Ta sẽ xét từng trƣờng hợp cụ thể
:
-
Điều khiển dòng dữ liệu: Khi trạm nguồn gửi dữ liệu tới quá nhanh, trạm đích
không kịp xử lý, trạm đích – hay một thiết bị dẫn đƣờng gửi trả trạm nguồn một thông
báo để trạm nguồn tạm ngừng việc truyền thông tin.
-
Thông báo lỗi: Khi không tìm thấy trạm đích, một thông báo lỗi “Destination
Unreachable” đƣợc thiết bị mạng gửi trả lại trạm nguồn. Hoặc nếu số hiệu cổng không
phù hợp, trạm đích cũng gửi thông báo lỗi lại cho trạm nguồn.
-
Kiểm tra trạm làm việc: Khi một máy tính muốn kiểm tra một máy khác có tồn
tại và đang hoạt động hay không, nó gửi một thông báo Echo Request. Khi trạm đích
nhận đƣợc thông báo đó, trạm đó sẽ gửi lại một Echo Reply để thông báo sự tồn tại
của mình. Lệnh ping sử dụng các thông báo này. Ping là một lệnh phổ biến và thƣờng
đƣợc sử dụng để kiểm tra kết nối.
1.1.2 SNMP
SNMP là giao thức quản lý mạng đơn giản. Nó dịch từ cụm từ “Simple
Networ Management Protocol”
Giao thức là một tập hợp các thủ tục mà các bên tham gia cần tuân theo để có
thể giao tiếp đƣợc với nhau Trong lĩnh vực thông tin, một giao thức quy định cấu
trúc, định dạng của dòng dữ liệu trao đổi với nhau và quy định trình tự, thủ tục để trao
đổi dòng dữ liệu đó Nếu một bên tham gia gửi dữ liệu hông đúng định dạng hoặc
không theo trình tự thì các bên khác sẽ không hiểu hoặc từ chối trao đổi thông tin.
SNMP là một giao thức, do đó nó có những quy định riêng mà các thành phần trong
mạng phải tuân theo.
11
1.1.3 Netflow
Luồng dữ liệu là hƣớng duy nhất của gói tin đi từ nguồn tới đích xác định. Các
thiết bị mạng sẽ lƣu và xuất toàn bộ thông tin lƣu lƣợng mạng phục vụ cho việc giám
sát, quản lý mạng và quy hoạch mạng lƣới.
Netflow cung cấp các dữ liệu cần thiết và thuận tiện cho việc đánh giá, phân
tích dựa trên luồng dữ liệu giữa các thiết bị mạng. Dữ liệu này cũng có thể lƣu trữ và
cung cấp thông tin cho việc quản lý, đánh giá các ứng dụng thƣơng mại.
1.1.4 Các giao thức quản lý, quản trị các thiết bị mạng
1.1.4.1 Telnet
Telnet (Terminal Network) là một giao thức mạng (Network Protocol) đƣợc
dùng trên các kết nối với Internet hoặc các kết nối tại mạng máy tính cục bộ LAN
(Local Area Network). Mục đích của telnet là cung cấp một phƣơng tiện truyền thông
chung, có tính lƣỡng truyền. Telnet đƣợc giới thiệu trong các RFC từ RFC854 đến
RFC861.
1.1.4.2 SSH
SSH (Secure Shell) là một giao thức mạng dùng để thiết lập kết nối mạng một
cách bảo mật. SSH hoạt động ở lớp trên trong mô hình phân lớp TCP/IP. Các công cụ
SSH (nhƣ là OpenSSH
) cung cấp cho ngƣời dùng cách thức để thiết lập kết nối
mạng đƣợc mã hoá để tạo một kênh kết nối riêng tƣ
SSH là một chƣơng trình tƣơng tác giữa máy chủ và máy khách có sử dụng cơ
chế mã hoá đủ mạnh nhằm ngăn chặn các hiện tƣợng nghe trộm, đánh cắp thông tin
trên đƣờng truyền Các chƣơng trình trƣớc đây: telnet, rlogin không sử dụng phƣơng
pháp mã hoá. Vì thế bất cứ ai cũng có thể nghe trộm thậm chí đọc đƣợc toàn bộ nội
dung của phiên làm việc bằng cách sử dụng một số công cụ đơn giản. Sử dụng SSH là
biện pháp hữu hiệu bảo mật dữ liệu trên đƣờng truyền từ hệ thống này đến hệ thống
khác.
1.1.4.3 RDP
RDP (Remote Desktop Protocol) là giao thức quản lý dùng trong Windows,
đƣợc thiết kế trong việc kết nối ngƣời sử dụng từ xa đến các ứng dụng đƣợc cài đặt
tập trung trên các máy chủ. Mặc định, RDP sử dụng cổng kết nối 3389.
12
1.1.4.4 Syslog
Syslog là một trong những giao thức để giám sát mạng Cơ chế hoạt động của
syslog là ghi thông tin các sự kiện của một hay nhiều thiết bị (có thể là máy chủ hay
thiết bị mạng) sau đó tổng hợp thành cơ sở dữ liệu duy nhất thuận tiện cho việc lƣu trữ
và phân tích. Syslog có lịch sử lâu dài, bắt đầu phát triển từ năm 1980 ết hợp trong
dự án Sendmail.
Ngoài ra còn rất nhiều các giao thức để quản lý, giám sát hệ thống mạng nhƣng
trong phạm vi nội dung của đề tài tôi không thể liệt kê toàn bộ mà chỉ đƣa ra một số.
1.2 Giao thức SNMP
SNMP là “giao thức quản lý mạng đơn giản”, dịch từ cụm từ “Simple Network
Management Protocol”.
Một thiết bị hiểu đƣợc và hoạt động tuân theo giao thức SNMP đƣợc gọi là “có
hỗ trợ SNMP” (SNMP supported) hoặc “tƣơng thích SNMP” (SNMP compatible).
SNMP dùng để quản lý và điều khiển hệ thống hoạt động nhƣ ý muốn. Một số
khả năng của phần mềm SNMP:
-
Theo dõi tốc độ đƣờng truyền của một router, biết đƣợc tổng số byte đã
truyền/nhận.
-
Lấy thông tin máy chủ nhƣ tải CPU, RAM, dung lƣợng ổ cứng...
-
Tự động nhận cảnh báo khi thiết bị mạng có một cổng bị chết.
-
Điều khiển tắt các cổng của thiết bị mạng.
SNMP dùng để quản lý mạng, nó đƣợc thiết kế để chạy trên nền TCP/IP và
quản lý các thiết bị có nối mạng TCP/IP. Các thiết bị mạng không nhất thiết phải là
máy tính mà có thể là switch, router, firewall, adsl gateway, và cả một số phần mềm
cho phép quản trị bằng SNMP. Giả sử bạn có một cái máy giặt có thể nối mạng IP và
nó hỗ trợ SNMP thì bạn có thể quản lý nó từ xa bằng SNMP. SNMP là giao thức đơn
giản, do nó đƣợc thiết kế đơn giản trong cấu trúc bản tin và thủ tục hoạt động, và còn
đơn giản trong bảo mật (ngoại trừ SNMP version 3). Sử dụng phần mềm SNMP,
ngƣời quản trị mạng có thể quản lý, giám sát tập trung từ xa toàn mạng của mình.
1.2.1 Ƣu điểm trong thiết kế của SNMP
SNMP đƣợc thiết kế để đơn giản hóa quá trình quản lý các thành phần trong
mạng. Nhờ đó các phần mềm SNMP có thể đƣợc phát triển nhanh và tốn ít chi phí.
SNMP đƣợc thiết kế để có thể mở rộng các chức năng quản lý, giám sát. Khi có một
13
thiết bị mới với các thuộc tính, tính năng mới thì ngƣời ta có thể thiết kế thay đổi
SNMP để phục vụ cho riêng mình SNMP đƣợc thiết kế để có thể hoạt động độc lập
với các kiến trúc và cơ chế của các thiết bị hỗ trợ SNMP. Các thiết bị khác nhau có
hoạt động khác nhau nhƣng đáp ứng SNMP là giống nhau.
1.2.2 Nhƣợc điểm của SNMP
SNMP giám sát đƣợc toàn bộ lƣu lƣợng mạng, tải của thiết bị mạng, máy
chủ… Tuy nhiên, SNMP hông thể giám sát đƣợc thông tin chi tiết trong luồng lƣợng
đó:
-
Không biết đƣợc thông tin chi tiết trong luồng lƣu lƣợng, không biết trong
luồng lƣu lƣợng đó gồm có những thành phần nào.
-
Không xác định đƣợc thông tin cổng dịch vụ, giao thức sử dụng cũng nhƣ tỷ lệ
các của các thành phần đó
Sự phát triển của mạng IP kéo theo sự phát triển của các dịch vụ, ứng dụng
mới. Việc này kéo theo các yêu cầu về băng thông, hiệu năng, chất lƣợng dịch vụ đặc
biệt là các dịch vụ đa phƣơng tiện. Việc phát triển trên dẫn tới SNMP không thể đáp
ứng hết các yêu cầu. Nhu cẩu phát triển một giao thức mới nhằm đáp ứng các yêu cầu
trên và Cisco IOS Netflow ra đời đáp ứng cho những yêu cầu này và phiên bản đầu
tiên ra đời vào 5/9/2001.
1.3 Giao thức Netflow
Để giám sát băng thông của hệ thống, ta thƣờng sử dụng SNMP. Tuy nhiên,
với SNMP ta không thể theo dõi đƣợc các tính chất bên trong của lƣu lƣợng nên các
nhà cung cấp dịch vụ không thể hỗ trợ đƣợc các dịch vụ cụ thể cho hách hàng cũng
nhƣ đối tác. Một yêu cầu đề ra là làm sao để giám sát từng gói tin, dung lƣợng sử
dụng của từng dịch vụ, và chi tiết từng dịch vụ đó đi và đến từ địa chỉ IP cụ thể nào.
Netflow ra đời để đáp ứng các yêu cầu còn thiếu của SNMP.
Luồng dữ liệu đƣợc định nghĩa là hƣớng duy nhất của gói tin đi từ nguồn tới
đích xác định. Các thiết bị mạng sẽ lƣu và xuất toàn bộ thông tin lƣu lƣợng mạng phục
vụ cho việc giám sát, quản lý mạng và quy hoạch mạng lƣới.
Netflow [1, 2, 3] cung cấp các dữ liệu cần thiết và thuận tiện cho việc đánh giá,
phân tích dựa trên luồng dữ liệu giữa các node mạng. Dữ liệu này cũng có thể lƣu trữ
và cung cấp thông tin cho việc quản lý, đánh giá các ứng dụng.
14
Bản ghi dữ liệu của Netflow chứa thông tin về địa chỉ nguồn, đích, giao thức và
cổng dịch vụ… giữa các thiết bị.
1.3.1 Các phiên bản của Netflow
Hiện tại, Netflow đã có tới phiên bản 10, tuy nhiên phiên bản sử dụng phổ biến
hiện nay là phiên bản Netflow phiên bản 9 [5].
Phiên bản
v1
Mô tả chi tiết
Phiên bản đầu tiên và hiện tại hông sử dụng, nó chỉ tập trung cho IPv4
(không có IP mask và AS number).
v2
Không xuất bản ra ngoài
v3
Không xuất bản ra ngoài
v4
Không xuất bản ra ngoài
Bắt đầu từ 2009, là phiên bản phổ biến trong nhiều dòng thiết bị mạng
v5
của các nhà phân phối hác nhau Phiên bản này hạn chế cho IPv4
flows.
v6
v7
v8
v9
v10
Không đƣợc hỗ trợ bới Cisco
Tƣơng tự nhƣ v5 Phiên bản này chỉ sử dụng cho dòng switch Cisco
Catalyst.
Tập hợp lại một số thông số, nhƣng các thông tin này đều đã đƣa ra
trong v5.
Phiên bản đƣa ra cho một số giao thức định tuyến gần đây Phần lớn sử
dụng cho các lƣu lƣợng IPv6, MPLS hoặc IPv4 với BGP nexthop
Chuẩn hóa cho phiên bản v9 và thêm một số trƣờng mở rộng cho doanh
nghiệp
Bảng 1: Danh sách các phiên bản của Netflow
Phiên bản sử dụng phổ hiện này là Netflow v9, nên trong phạm vi của đề tài chỉ
giới thiệu về cấu trúc bản tin của Netflow v9 Netflow v9 đƣợc đƣợc mô tả chi tiết
trong sau:
RFC 2720 - Traffic Flow Measurement: Meter MIB
RFC 3334 - Policy-Based Accounting
RFC 3917 - Requirements for IP Flow Information Export (IPFIX)
RFC 3954 - Cisco Systems NetFlow Services Export Version 9
RFC 3955 - Candidate Protocols for IP Flow Information Export (IPFIX)
15
1.3.2 Hoạt động của Netflow
Netflow hoạt động bằng cách tạo ra một bộ nhớ đệm (Netflow cache) chứa
thông tin về tất cả các luồng (flow) đang hoạt động.
Bộ nhớ đệm này đƣợc xây dựng bằng cách xử lý gói tin trong luồng dữ liệu
thông qua một đƣờng chuyển mạch chuẩn. Trong một luồng nó chỉ ghi lại các gói tin
đầu tiên và nó sử dụng lại bản ghi này cho các gói tin khác trong luồng đó cho đến khi
luồng đó ết thúc. Các bản ghi này sẽ đƣợc lƣu trong bộ nhớ đệm (Netflow Cache).
Gói tin đó sẽ đƣợc kiểm tra trong bảng định tuyến về các thông tin:
-
Địa chỉ IP nguồn, IP đích
-
Cổng kết nối nguồn, đích
-
Loại giao thức lớp 3.
-
Loại dịch vụ ToS byte .
-
Lớp giao diện (interface) của thiết bị chuyển mạch.
Mỗi một bản ghi trong bộ nhớ đệm chứa các trƣờng thuộc tính. Mỗi bản ghi
đƣợc tạo ra bằng cách so sánh:
-
Thuộc tính của các gói tin.
-
Đếm số gói tin và số byte của mỗi luồng.
Sau đó có thể nó xuất các bản ghi này tới một thiết bị thu thập dữ liệu. Có 2
cách để xem dữ liệu trong Netflow:
-
CLI: dùng câu lệnh, chế độ này giúp bạn biết đƣợc những thay đổi tức thì.
-
Máy chủ thu thập (Netflow collector): chế độ này sẽ chuyển dữ liệu từ bộ nhớ
đệm tới máy chủ thu thập, máy chủ này thu thập thông tin về luồng và tổng hợp thành
các báo cáo.
Không giống nhƣ SNMP, Netflow thƣờng xuyên gửi thông tin một cách định
kỳ tới máy chủ thu thập.
Bộ nhớ đệm liên tục cập nhập các bản ghi từ thiết bị mạng. Nó sẽ tìm trong bộ
đệm những luồng đã ết thúc và những luồng này sẽ đƣợc gửi tới máy chủ thu thập.
Luồng sẽ kết thúc khi giao tiếp mạng kết thúc.
Sau đây là các bƣớc cơ bản để thực hiện một bản ghi của Netflow:
-
Netflow đƣợc cấu hình ghi dữ liệu vào bộ nhớ đệm.
-
Netflow đƣợc cấu hình để gửi các luồng tới máy chủ thu thập.
16
-
Bộ nhớ đệm tìm kiếm luồng đã ết thúc và gửi thông tin về luồng đó tới máy
chủ thu thập.
-
Có khoảng từ 30-50 luồng đƣợc đóng gói và gửi dƣới dạng UDP.
-
Phần mềm sẽ phân tích dữ liệu và tạo các báo cáo theo lịch sử và thời gian
thực.
Netflow thƣờng đƣợc sử dụng ở trung tâm, quản lý và giám sát các thành phần
khác.Vị trí triển khai Netflow phụ thuộc vào cấu trúc mạng.
1.3.3 Cấu trúc bản ghi của Netflow v9
Cấu trúc bản ghi của Netflow v9 bao gồm một gói tin tiêu đề và có ít nhất một
trong các gói tin Template FlowSet hay Data FlowSets. Gói tin Template FlowSet mô
tả các trƣờng sẽ sử dụng trong Data FlowSet. Các Data FlowSet có thể trong cùng gói
tin đó hay gói tin sau đó Các Template hay Data FlowSet có thể sử dụng xen kẽ nhƣ
trong mô tả bên dƣới:
Hình 1: Cấu trúc bản ghi Netflow
Trong gói tin của Netflow có thể là sự kết hợp:
-
Gói tin có chứa cả Template và Data Flow Set.
-
Gói tin chỉ có Data FlowSet.
-
Gói tin chỉ có Template FlowSet.
Cấu trúc phần mở đầu của gói tin (Packet Header):
Hình 2: Cấu trúc phần mở đầu của bản ghi Netflow
Tên các trƣờng và ý nghĩa của nó:
Tên các trƣờng
Mô tả
Version
Phiên bản của Netflow, với phiên bản 9 thì giá trị này là
0x0009
17
Count
Số lƣợng các bản ghi FlowSet (cả Template và Data) sử dụng
trong gói tin
System Uptime
Thời gian tính từ khi thiết bị khởi động lần đầu
UNIX Seconds
Thời gian tính theo (UTC) 1970
Sequence
Giá trị này tăng hi các gói tin gửi bởi 1 thiết bị, giá trị này
Number
đƣợc tích lũy để xác định xem bao nhiêu gói tin bị bỏ qua
Source ID
Sử dụng 32 bit, định dạng của phần này là tƣơng ứng cho
từng nhà cung cấp.
Bảng 2: Bảng mô tả các trƣờng của phần header trong bản ghi của Netflow
Cấu trúc của Template FlowSet:
Hình 3: Các trƣờng cơ bản của Template FlowSet
Ý nghĩa của một số trƣờng cơ bản:
FlowSet ID
Trƣờng này sử dụng để phân biệt giữa Template FlowSet với
Data FlowSet. Với Template thì giá trị này là từ 0-255.
18
Length
Chiều dài tổng thể của FlowSet
Template ID
Thiết bị mạng định nghĩa các FlowSets template
hác nhau
tƣơng ứng với các loại dữ liệu Netflow sẽ đƣợc export. Template
ID có giá trị từ 256 trở đi
Field Count
Thông tin số trƣờng trong bản ghi template
Field Type
Trƣờng này mô tả thông tin về nhà sản xuất
Field Length
Thông số định nghĩa chiều dài của các trƣờng phía trên và đơn vị
là byte.
Bảng 3: Các trƣờng cơ bản của Template FlowSet
1.3.4 Cơ chế lựa chọn gói tin Netflow trong thiết bị
Có hai phƣơng pháp lựa chọn các gói tin:
-
Lựa chọn gói tin dựa vào các tham số lọc (Netflow filtering).
-
Lựa chọn thông tin thông qua việc lấy mẫu các gói tin (Netfow sampling)
Yêu cầu cấu hình thiết bị cho việc sử dụng lọc (Netflow filtering):
-
Cấu hình router cho định tuyến IP
-
Cấu hình Cisco Express Forwarding (CEF) hoặc distributed Cisco Express
Forwarding (dCEF)
-
Tạo các phân lớp lƣu lƣợng và định nghĩa trong bảng các dữ liệu mẫu của
Netflow
Quá trình lấy mẫu: Lấy 1 gói tin trong n gói tin của thiết bị (với n là tham số nhập vào
trong quá trình cấu hình Netflow) Cách lấy này chia nhỏ thành 2 phƣơng pháp:
-
Random Sampled Netflow: Lấy bất ỳ 1 gói tin trong n gói tin của thiết bị
-
Netflow sampler: Lấy 1 gói tin có chủ định trong n gói tin của thiết bị (ví dụ
gói tin 101, 102,103)
Yêu cầu cấu hình thiết bị đối với Random Sampled Netflow
-
Cấu hình router cho định tuyến IP
-
Cấu hình Cisco Express Forwarding (CEF) hoặc distributed Cisco Express
Forwarding (dCEF)
1.4 Đánh giá ƣu, nhƣợc của Netflow
1.4.1 Ƣu điểm
-
Giám sát mạng chi tiết mạng và hỗ trợ phân tích các ứng dụng:
19
Việc sử dụng Netflow để giám sát gần nhƣ việc giám sát hệ thống mạng với
thời gian thực. Kỹ thuật phân tích của Netflow cho phép hình dung đƣợc mô hình giao
tiếp giữa các thiết bị mạng từ đơn giản đến phức tạp, thuật tiện trong việc đánh giá,
đƣa ra giải pháp và khắc phục các sự cố nhanh chóng.
Các thông số của Netflow cho phép giám sát chi tiết và theo thời gian các ứng
dụng sử dụng trên hệ thống. Những thông tin này giúp cho việc lập kế hoạch, đánh giá
dịch vụ mới và phân phối tài nguyên của các ứng dụng để đáp ứng các yêu cầu của
khách hàng.
-
Giám sát và phân tích tài nguyên của khách hàng:
Các thông số của Netflow hỗ trợ việc đánh giá chi tiết mức độ sử dụng các
nguồn tài nguyên của khách hàng. Các thông số này giúp cho việc lập kế hoạch hiệu
quả, đánh giá các nguồn tài nguyên ứng dụng cũng nhƣ phát hiện và khắc phục các
vấn đề liên quan đến các chính sách bảo mật.
-
Hỗ trợ trong việc thiết kế mạng lƣới:
Dữ liệu Netflow đƣợc thu thập và lƣu trữ trong một thời gian dài phục vụ việc
đánh giá, dự đoán tăng trƣởng mạng lƣới và lập kế hoạch phát triển mạng lƣới. Nó
giúp cho việc tối ƣu hóa mạng lƣới, giúp tăng hiệu năng tối đa của hệ thống mạng với
chi phí nhỏ nhất. Netflow cũng đánh giá đƣợc các lƣu lƣợng WAN không mong
muốn, các băng thông hợp lệ và QoS Nó cũng cung cấp các thông tin hỗ trợ tối ƣu
hóa chi phí vận hành của hệ thống.
-
Phân tích và phát hiện các vấn đề về bảo mật:
Phân tích bảo mật: Netflow xác định và phân loại các cuộc tấn công DDoS,
virus và sâu theo thời gian thực Các thay đổi hành vi bất thƣờng hiển thị rõ
ràng trong dữ liệu Netflow. Các dữ liệu này cũng là một công cụ pháp lý có giá
trị để đánh giá lịch sử các vấn đề bảo mật.
Với việc đƣa ra các thông tin chi tiết về lƣu lƣợng của các dịch vụ bên trong hệ
thống mạng, Netflow hỗ trợ cho IDSs (intrusion detection systems) trong việc
giám sát đánh giá và giới hạn lƣu lƣợng của mạng nội bộ.
Phát hiện sớm các vị trí thắt cổ chai, phát hiện các phần mềm độc hại phát tát
trên mạng.
Cung cấp cái nhìn tổng thể về toàn bộ hệ thống. Nó giúp cho việc đánh giá và
kiểm lại toàn bộ hệ thống.
20
-
Thống kê tổng lƣu lƣợng băng thông sử dụng.
Các thông tin của Netflow bao gồm địa chỉ IP, dung lƣợng sử dụng, thời gian
sử dụng, các ứng dụng, cổng dịch vụ… giúp cho việc đánh giá tài nguyên sử dụng của
khách hàng. Nhà cung cấp dịch vụ dựa vào các thông tin này để đƣa vào trong chi phí
phải thanh toán của hách hàng nhƣ thời gian, băng thông, ứng dụng, chất lƣợng dịch
vụ…đồng thời sử dụng các thông tin này cho việc phân tích đánh giá tài nguyên phân
bổ cho từng khác hàng.
1.4.2 Nhƣợc điểm
Ngoài các ƣu điểm trong việc giám sát và đánh giá hệ thống mạng, Netflow có
một số nhƣợc điểm nhƣ sau:
-
Ảnh hƣởng tới hạ tầng mạng:
Ảnh hƣởng đến tỷ lệ “no-drop” của các gói tin: Đây là giá trị lớn nhất mà mỗi
gói tin có thể chuyển qua các thiết bị mạng từ lúc bắt đầu đến khi bị loại bỏ Nhƣ ết
quả công bố của Cisco cho việc ảnh hƣởng của Netflow trên thiết bị RSP2 với dung
lƣợng bộ nhớ 128 Mbytes, sử dụng gói tin có dung lƣợng 64kbytes có kết quả nhƣ
sau: hi chƣa sử dụng Netflow là 216 kpps (kilo packets per second) và khi sử dụng
Netflow là 120 pps Nhƣ vậy tỷ lệ no-drop của gói tin giảm gần 44%.
-
Ảnh hƣởng đến tải CPU của thiết bị:
Cisco đƣa ra phân tích về ảnh hƣởng của CPU khi bật Netflow trên thiết bị
Cisco và đƣa ra huyến cáo cho tải của CPU dƣới 60% khi bật tính năng Netflow.
-
Ảnh hƣớng tới lƣu lƣợng mạng:
Việc thiết bị bật tính năng Netflow chiếm nhiều lƣu lƣợng mạng hơn so với các
giao thức khác.
-
Không thể giám sát đƣợc các thông số khác của thiết bị mạng nhƣ tải của hệ
thống, dung lƣợng ổ cứng, dung lƣợng tải CPU, tải RAM…
-
Không thể giám sát theo từng cổng vật lý của thiết bị.
Qua việc phân tích SNMP và Netflow, ta có thể so sánh SNMP với Netflow
theo bảng một số tiêu chí nhƣ sau:
Các tiêu chí
SNMP
Cài đặt
Dễ dàng
Thống ê lƣu lƣợng, theo địa chỉ Không
21
Netflow
Phức tạp hơn, (nhiều khi chỉ một
số dòng thiết bị mới hỗ trợ)
Có
IP, MAC, giao thức …
Giám sát lƣu lƣợng theo từng
cổng vật lý của thiết bị
Giám sát các thông số khác của
thiết bị ngoài băng thông
Tải của máy chủ
Băng thông sử dụng cho việc
giám sát
Có
Không
Có
Không
Lớn, phụ thuộc vào dung lƣợng
Nhỏ
của tập tin Netflow từ thiết bị
Phụ thuộc vào lƣu lƣợng của
Nhỏ
mạng
Bảng 4: Bảng so sánh một số tính chất của SNMP và Netflow
22
CHƢƠNG 2: GIỚI THIỆU VỀ PHẦN MỀM NFDUMP/NFSEN
2.1 Giới thiệu các phần mềm giám sát mạng sử dụng Netflow
Netflow ngày càng quan trọng trong việc giám sát mạng lƣới. Do vậy có rất
nhiều hãng phát triển phần mềm giám sát dựa trên Netflow, bao gồm cả phần mềm
thƣơng mại và phi thƣơng mại. Có thể liệt kê danh sách phần mềm của các hãng nhƣ
sau:
Tên sản phầm
Netflow Analyzer
Công ty
Thông tin
phát triển
bản quyền
AdventNet
Thƣơng mại
Mô tả phần mềm
Phần mềm phân tích dữ liệu
Netflow dựa trên nền web
Giám sát lƣu lƣợng mạng, sử
WANGUARD
Andrisoft
Thƣơng mại dụng Netflow trong việc chống
DDoS
Phục vụ cho việc giám sát, quy
NetUsage
Apoapsis
Thƣơng mại hoạch phân tích và đánh giá chi
phí cho các dự án thƣơng mại
Phân tích lƣu lƣợng, giám sát
PeakFlow
Arbor
Networks
Thƣơng mại
DDoS, phân tích các kết nối
ngang hàng và thu thập dữ liệu
Netflow
Cflowd Analysis
Software
Caida
Miễn phí
Thu thập và đƣa ra báo cáo các
dữ liệu Netflow
Giám sát lƣu lƣợng thời gian
Caligare Flow
Inspector
Caligare
Thƣơng mại
thực, giám sát và lọc những lƣu
lƣợng bất thƣờng của mạng
lƣới
Giám sát lƣu lƣợng Netflow và
Netflow Monitor
CESNET
Miễn phí
đánh giá Netflow Exports từ
các thiết bị của Cisco
eHealth Traffic
Computer
Accountant
Associates
Thƣơng mại
23
Phần mềm thƣơng mại cho việc
giám sát lƣu lƣợng mạng sử
dụng Cisco Netflow Collector
Netflow Tracker
Crannog
Software
Thƣơng mại
Phân tích lƣu lƣợng, thu thập
dữ liệu Netflow
Mô tả từng bƣớc chi tiết xây
Netflow
Dynamic
Reporting System
Networks
dựng các báo cáo sử dụng lƣu
Miễn phí
lƣợng mạng bằng việc sử dụng
công cụ RRDTool, flow-tool,
FlowScan và CUFlow.
NTOP
Evident Analyze
Ethereal
Evident
Software
Miễn phí
Phần mềm thu thập dữ liệu
Netflow
Phần mềm sử dụng Netflow
Thƣơng mại cho thanh toán chi phí và phân
tích lƣu lƣợng
Phân tích lƣu lƣợng, thu thập
Netflow Insight
Hewlett
Packard
Thƣơng mại
dữ liệu Netflow sử dụng HP
Insight Network Performance
Monitoring
Aurora
IBM
InfoVista Netflow
Infovista
Thƣơng mại Flow Based Profiling System
Thƣơng mại
Giám sát hiệu năng của nhà
cung cấp dịch vụ
Phần mềm việc lập kế hoạch,
khắc phục sự cố, phát hiện các
lƣu lƣợng bất thƣờng, giám sát
IsarFlow
Reporting
IsarNet
Thƣơng mại QoS Đánh giá năng lực, kiến
Software
trúc và sự mở rộng của hệ
thống (dựa trên cả Netflow và
SNMP)
Nfsen & Nfdump
Flowd
Peter Haag
SWITCH
Mindrot
Phân tích, giám sát lƣu lƣợng,
Miễn phí
lịch sử, cảnh báo, phần đồ họa
dựa trên RRD
Miễn phí
24
Phần mềm thu thập dữ liệu
