Giriş
Bir ağı izlemek ve ağ trafiğini analiz etme amacı ile kullanılan, kısaca ağ trafiği izleme protokolü olarak tanımlanan araçlar, belirli bir protokol üzerinde IP ve Port bilgisi verir. Bu bilgiye flow denmektedir.
Not: Flow, gönderici ve alıcı arasında geçen konuşmayı toplayan paketler dizisidir.
Kullanım amaçları ise olası bir risk anında gelen tehdidin anında fark edilmesi, donanım ve güvenlik hatalarının giderilmesi, performans sorunlarının düzenlenmesi v.b sorunları daha fazla risk oluşturmadan çözümlenmesini sağlar. Ağ trafiğini izlemek için kullanılan en temel araçlar arasında NetFlow ve SFlow yer almaktadır.
NetFlow Nedir?
Cisco tarafından geliştirilen, routerlar üzerindeki paket iletişimini kontrol etmek ve optimizasyon sağlamak için kullanılan bir protokoldür. NetFlow, Cisco tarafından geliştirilmesine rağmen diğer üreticilerde NetFlowu kullanmaktadırlar. Giden ve gelen tüm IP trafiğini izleme, kaydetmek için yaygın kullanılan bu protokol 3.katman ve sonrasında çalışmaktadır. NetFlowun versiyon1 ile versiyon9 arasında birçok yayınlanmış versiyonu vardır ve paylaşılmayan versiyonlarıda mevcuttur. En sık tercih edilen versiyonlar v5 ve v9dur.
NetFlow üzerinde çalışarak belirli bir arayüzde gerçekleşen tüm IP haberleşmelerini takip ederek raporlar. Burada söz konusu her bir IP haberleşmesi, Giriş kısmında bahsedilen flow kavramı ile tanımlanmıştır. Raporlanan flowlar ilgili paketlerden toplanıp yerel önbelleğe çekilir ve sistematik bir şekilde collector denen toplayıcılara iletilir. Flow oluşturmak için paketlerden çekilen öğeler aşağıdaki gibidir;
>Kaynak IP
>Hedef IP
>UDP/TCP oluşturulan Port
>UDP/TCP oluşturulan hedef Port
>IP Protokolü v.b parametrelerde gözlemlenebilmektedir.
SFlow Nedir?
Kelime anlamı ile s-Flow = Sampling Flow (Örnekleme-Flow) anlamına gelmektedir. Burada flow ibaresi barındırsa da, NetFlow gibi akış ile ilgili verileri analiz etmemektedir. Çalışma mantığı yüksek hızlı örnekleme ve veri transferi yapmaktır. NetFlowda gelen/giden trafiği arasındaki konuşmaya ait packetları toplayıp oluşturulan flow; sFlowda aynı yetkiye sahip olmadığı için kullanılamamaktadır. sFlow, rastgele bir ağ aygıtına bağlı olarak bulunan L2-L7 arası protokollerde istatistikler sağlamak için geliştirilmiştir. Bu şekilde belirli bir ağdaki tüm trafiği doğru bir şekilde analiz edip izleyebilmektedir. Burada bahsi geçen istatistikler ise sorun giderme, ağ yapılandırması v.b için kullanılmaktadır.
SFlow ile NetFlow Arasındaki Farklar Nelerdir?
1) Bu iki protokol arasındaki en belirgin fark, Netflowda izlenen ağ trafiğinin her bir paketinin hangi konuşmaya ait olduğunu tespit edilirken; sFlowda yalnızca o an geçen ağ trafiğinin bir örnek kümesi alınabilmektedir.
2) sFlow çalışma mantığı olarak ağ aygıtlarına performans kaybı yaşatmazken NetFlow yüksek ağ trafiği barındıran ağ aygıtlarının cihaz performanslarını önemli ölçüde gereksinim olarak tüketir.
3) NetFlowun gecikmesi sFlowa göre daha fazladır.
Bir ağı izlemek ve ağ trafiğini analiz etme amacı ile kullanılan, kısaca ağ trafiği izleme protokolü olarak tanımlanan araçlar, belirli bir protokol üzerinde IP ve Port bilgisi verir. Bu bilgiye flow denmektedir.
Not: Flow, gönderici ve alıcı arasında geçen konuşmayı toplayan paketler dizisidir.
Kullanım amaçları ise olası bir risk anında gelen tehdidin anında fark edilmesi, donanım ve güvenlik hatalarının giderilmesi, performans sorunlarının düzenlenmesi v.b sorunları daha fazla risk oluşturmadan çözümlenmesini sağlar. Ağ trafiğini izlemek için kullanılan en temel araçlar arasında NetFlow ve SFlow yer almaktadır.
NetFlow Nedir?
Cisco tarafından geliştirilen, routerlar üzerindeki paket iletişimini kontrol etmek ve optimizasyon sağlamak için kullanılan bir protokoldür. NetFlow, Cisco tarafından geliştirilmesine rağmen diğer üreticilerde NetFlowu kullanmaktadırlar. Giden ve gelen tüm IP trafiğini izleme, kaydetmek için yaygın kullanılan bu protokol 3.katman ve sonrasında çalışmaktadır. NetFlowun versiyon1 ile versiyon9 arasında birçok yayınlanmış versiyonu vardır ve paylaşılmayan versiyonlarıda mevcuttur. En sık tercih edilen versiyonlar v5 ve v9dur.
NetFlow üzerinde çalışarak belirli bir arayüzde gerçekleşen tüm IP haberleşmelerini takip ederek raporlar. Burada söz konusu her bir IP haberleşmesi, Giriş kısmında bahsedilen flow kavramı ile tanımlanmıştır. Raporlanan flowlar ilgili paketlerden toplanıp yerel önbelleğe çekilir ve sistematik bir şekilde collector denen toplayıcılara iletilir. Flow oluşturmak için paketlerden çekilen öğeler aşağıdaki gibidir;
>Kaynak IP
>Hedef IP
>UDP/TCP oluşturulan Port
>UDP/TCP oluşturulan hedef Port
>IP Protokolü v.b parametrelerde gözlemlenebilmektedir.
SFlow Nedir?
Kelime anlamı ile s-Flow = Sampling Flow (Örnekleme-Flow) anlamına gelmektedir. Burada flow ibaresi barındırsa da, NetFlow gibi akış ile ilgili verileri analiz etmemektedir. Çalışma mantığı yüksek hızlı örnekleme ve veri transferi yapmaktır. NetFlowda gelen/giden trafiği arasındaki konuşmaya ait packetları toplayıp oluşturulan flow; sFlowda aynı yetkiye sahip olmadığı için kullanılamamaktadır. sFlow, rastgele bir ağ aygıtına bağlı olarak bulunan L2-L7 arası protokollerde istatistikler sağlamak için geliştirilmiştir. Bu şekilde belirli bir ağdaki tüm trafiği doğru bir şekilde analiz edip izleyebilmektedir. Burada bahsi geçen istatistikler ise sorun giderme, ağ yapılandırması v.b için kullanılmaktadır.
SFlow ile NetFlow Arasındaki Farklar Nelerdir?
1) Bu iki protokol arasındaki en belirgin fark, Netflowda izlenen ağ trafiğinin her bir paketinin hangi konuşmaya ait olduğunu tespit edilirken; sFlowda yalnızca o an geçen ağ trafiğinin bir örnek kümesi alınabilmektedir.
2) sFlow çalışma mantığı olarak ağ aygıtlarına performans kaybı yaşatmazken NetFlow yüksek ağ trafiği barındıran ağ aygıtlarının cihaz performanslarını önemli ölçüde gereksinim olarak tüketir.
3) NetFlowun gecikmesi sFlowa göre daha fazladır.