Fachartikel

Verkehrsmonitoring in geswitchten Netzumgebungen (2)

Je komplexer Netzwerke werden, desto wichtiger wird ein detaillierter Einblick in die übermittelten Daten – auch aus Sicherheitsgründen. Ein Verkehrsmonitoring in modernen Highspeed-Netzwerken auf Basis von Switchen und Routern ist mit den gängigen Technologien nicht mehr zu leisten. Die Konsequenz: Viele Netzverbindungen werden als Black Box betrieben. Daher ist für ein kostengünstiges Management aller Netzressourcen eine Monitoring-Technologie notwendig.
Um die Kontrolle über den Datenfluss nicht zu verlieren, ist für ein kostengünstiges Management aller Netzressourcen eine Monitoring-Technologie notwendig.
NetFlow-Architektur mit drei Komponenten
Eine typische NetFlow-Architektur besteht aus folgenden drei Hauptkomponenten:

  • Der NetFlow Exporter aggregiert die Pakete zu Strömen und exportiert die aufgezeichneten Informationen an einen oder mehrere Flow-Kollektoren.
  • Der NetFlow Collector empfängt, speichert und verarbeitet die von den Flow Exportern übertragenen Informationen.
  • Die Analysis-Anwendung sorgt für die Aufbereitung der in den Datenströmen enthaltenen Informationen, beispielsweise für die Intrusion Detection oder zur Darstellung der Verkehrsprofile.

Bild 2: Die NetFlow Architektur besteht aus dem Exporter, dem Collector und dem Analyzer.

Eine NetFlow-Komponente beziehungsweise ein hierfür konfiguriertes Interface generiert eine entsprechende NetFlow-Information immer am Ende (nach Abschluss) eines Datenstroms. NetFlow gehört zu den passiven Messverfahren. Die NetFlow-Systeme beobachten ausschließlich den Verkehr und beeinflussen diesen nicht. Bei NetFlow werden in der Regel zwei Arten von Analysen durchgeführt:

  • Bei Top-N-Analysen werden in einem frei definierbaren Zeitraum diejenigen Elemente gesucht, die den meisten Verkehr erzeugen. Dabei lassen sich die Such- beziehungsweise Analysekriterien etwa zu Sender-IP-Adressen für Top Talker oder TCP-Ports für Top Applications frei wählen.
  • Zeitanalysen stellen das Verkehrsvolumen bestimmter im Netz integrierter Geräte auf einer Zeitachse dar und bewerten es.
Da die NetFlow-Datagramme auf Basis des zustands- beziehungsweise verbindungslosen UDP (User Datagram Protocol) über Port 2055 sowie 9555, 9995, 9025 oder 9026 übermittelt werden, muss der Flow-Kollektor schnell arbeiten, um alle angelieferten Daten empfangen, verarbeiten und speichern zu können. Aus Effizienzgründen speichern Router und Switche keine Flow-Informationen. Geht ein NetFlow-Paket durch eine Netzüberlastung oder einen Übertragungsfehler verloren, können bei dieser Übertragungsvariante die Flow-Informationen nicht erneut übermittelt werden und gehen zwangsläufig verloren.


 
Besonders bei den NetFlow-Versionen 8 und 9 kann ein Datenverlust zu erheblichen Problemen führen. Diese Varianten aggregieren eine erhebliche Datenmenge zu einem Flow, was bei einem Verlust der Informationen zu einer maßgeblichen Verfälschung der Statistiken führen kann. Aus diesem Grund nutzen einige moderne NetFlow-Implementierungen das Stream Control Transmission Protocol (SCTP) für den Export der Flow-Informationen.
NetFlow wird in der Regel auf der Basis von Schnittstellen aktiviert. Dies reduziert die Belastung der Router-Komponenten beziehungsweise die Menge der zu übertragenden NetFlow-Datensätze. In der Regel werden von NetFlow alle über eine IP-Schnittstelle (in Richtung Ausgang) empfangenen Pakete gesammelt und verarbeitet. Mit Hilfe von IP-Filtern lässt sich die zu übermittelnde Datenmenge weiter verringern und entscheiden, welche Informationen weitergeleitet werden. Einige NetFlow-Implementierungen erlauben auch die Beobachtung der Pakete auf der Egress-IP-Schnittstelle. Dieses Verfahren ist jedoch mit Vorsicht zu nutzen, denn die NetFlow-Informationen könnten unter Umständen mehrfach gezählt werden.

Mit Hilfe von NetFlow lassen sich alle IP-Pakete auf einer bestimmten Schnittstelle sammeln. In Umgebungen mit besonders hohen Lastaufkommen sind jedoch erhebliche Verarbeitungsressourcen vonnöten. Aus diesem Grund hat Cisco in seiner 12000-Serie ein sogenanntes Sampled NetFlow eingeführt und dieses danach in allen Highend-Routern implementiert. Dieses Stichprobenverfahren verarbeitet nur noch ein Paket aus n-Paketen. Der Wert n beschreibt dabei die Abtastrate, die vom Administrator bei der Router-Konfiguration bestimmt wird.

Paketstrukturen in NetFlow
Ein Export-Paket besteht immer aus einem Paket Header, an den ein oder mehrere FlowSets angehängt werden. Die FlowSets wiederum können aus den drei Typen Template, Data oder Options Template bestehen. Der Packet Header selbst besteht aus folgenden Feldern:

  • Version: Beschreibt die genutzte Version des übermittelten Flow Record Formats. Aktuell wird im Versionsfeld nur die Nummer 9 verwendet.
  • Count: Definiert die Gesamtzahl der im Export-Paket übermittelten Records (Summe der Optionen FlowSet Records, Template FlowSet Records und Data FlowSet Records).
  • sysUpTime: Definiert den Zeitraum (in Millisekunden) seit dem letzten Boot-Prozess.
  • UNIX Secs: Definiert den Zeitpunkt (in Sekunden seit 0000 UTC 1970), zu dem das Export-Paket den Exporter verlässt.
  • Sequence Number: Inkrementelle Sequenzzähler aller vom jeweiligen Exporter übermittelten Export-Pakete. Anhand dieses Wertes wird der Verlust von Paketen festgestellt.
  • Source ID: Dieser 32 Bit lange Wert beschreibt die Observation Domain des betreffenden Exporter. NetFlow Collectors nutzen diesen Wert in Kombination mit der Source-IP-Adresse und dem Source-ID-Feld zur Unterscheidung unterschiedlicher Export-Informationen, die vom gleichen Exporter übermittelt werden.
Ein Template FlowSet kann beispielsweise diese Informationstypen übermitteln:

  • Quell-IP-Adresse (IPv4)
  • Ziel-IP-Adresse (IPv4)
  • Next-Hop-IP-Adresse (IPv4)
  • Im Flow übertragene Anzahl an Bytes
  • Im Flow übertragene Anzahl an Paketen
Der Wert "Length" definiert ferner die Gesamtlänge des FlowSets. Jeder neu generierte Template Record wird außerdem mit einer innerhalb der betreffenden Observation Domain universellen Template ID versehen. Die Template IDs 0 bis 255 sind für Template FlowSets und Options FlowSets reserviert.

Data FlowSets nutzen die Template IDs 256 bis 65535. Der "Field Count" gibt nicht zuletzt die Anzahl der Felder in diesem Template an. Da ein Template FlowSet in der Regel mehrere Template-Datensätze enthält, ermöglicht dieses Feld einem Kollektor, das Ende eines Templates und den Anfang des nächsten Templates zu bestimmen.

Auch jedem Data FlowSet wird eine FlowSet ID zugeordnet. Die FlowSet ID entspricht der Template ID. Anhand der FlowSet ID identifiziert ein Kollektor den zugehörigen Template-Datensatz und kann anschließend die entsprechenden Flow-Datensätze aus dem FlowSet decodieren. Der Rest des Daten-FlowSet (Record N bis Field Value M) besteht aus einer Sammlung von Flow Data Record(s), die jeweils über eine Reihe von definierten Werten verfügen. Die Art und Länge dieser Felder werden im Template Record über die Werte FlowSet ID oder Template ID bestimmt. Der NetFlow-Sender sorgt mit Hilfe der Padding-Bytes, dass das nachfolgende FlowSet immer mit einer an 4 Byte-Werten ausgerichteten ID beginnt.

Seite 1: NetFlow-Architektur und -Paketstrukturen
Seite 2: Überlast als Ausfallursache


Seite 1 von 2 Nächste Seite >>
11.12.2017/dr/ln/Mathias Hein

Nachrichten

Kleiner WLAN-Administrator [9.04.2020]

D-Link bringt den "Nuclias Connect Hub DNH-100" auf den Markt. Der Netzwerk-Controller ist mit der mandantenfähigen Nuclias-Connect-Software ausgestattet. Mit Hilfe des rund 500 Gramm leichten DNH-100 lassen sich kleine bis mittlere WLAN-Umgebungen zentral administrieren. [mehr]

Paketanalyse mit Wireshark-Funktionen [19.11.2019]

Allegro Packets rollt für seine Analyse- und Monitoring-Software "Allegro Network Multimeter" ein umfassendes Upgrade aus. Highlight der Firmware 2.5 ist laut Hersteller das Feature Webshark, das Funktionen von Wireshark direkt im Browser bereitstellt. [mehr]

Besser im Blick [18.10.2019]

Tipps & Tools

Vorschau Januar 2020: LAN, WAN & SDN [16.12.2019]

Die Netzwerkinfrastruktur gehört wahrscheinlich nicht zu den heißesten Themen im IT-Bereich, nimmt jedoch einen enormen Stellenwert für Administratoren ein. Denn ohne stabile Grundlage kommt es schnell zu Engpässen im Datendurchsatz und Ausfällen von Applikationen. IT-Administrator startet das neue Jahr deshalb mit dem Schwerpunkt "LAN, WAN & SDN". Darin zeigen wir unter anderem, wie Sie Netzwerkgeräte mit rConfig, Jinja2 und Netdisco verwalten. Außerdem lesen Sie, wie Sie Anmeldungen mit dem Microsoft Network Policy Server unter Kontrolle behalten. In den Tests werfen wir einen Blick auf die NetBrain Integrated Edition 8.0. [mehr]

Fernzugriff auf PRTG Core Server [24.11.2019]

PRTG Network Monitor wird in vielen Unternehmen für das Monitoring der IT-Infrastruktur verwendet. Nicht selten kommt die Frage auf, wie der Zugriff auf den PRTG Core Server auch von außerhalb des Unternehmensnetzwerks möglich ist. Was der Admin hier beachten muss und welche Vorkehrungen wichtig sind, um Zugriffe durch unautorisierte Dritte zu verhindern, zeigt dieser Tipp. [mehr]

Buchbesprechung

Technik der IP-Netze

von Anatol Badach und Erwin Hoffmann

Anzeigen