Los datos de Netflow son el conjunto de registros de tráfico IP que ha atravesado un nodo en la red (enrutador o conmutador, pero también puede estar en un host), organizados en 5 tuplas (dirección IP de origen, dirección IP de destino, protocolo ID como TCP o UDP, y puertos de origen y destino). Para cada “flujo” (tupla), se recopilan estadísticas como el recuento de paquetes agregados y el recuento de bytes.
Independientemente de Netflow, estos prefijos de paquetes son a menudo la base para el tratamiento de paquetes dentro de los conmutadores y enrutadores, como en la base de información de reenvío (FIB), listas de acceso para dejar pasar o descartar un paquete, y poner en cola y manejar paquetes desde El punto de vista de limitar la velocidad o hacer cumplir las políticas relacionadas con el ancho de banda o la latencia.
Netflow es el registro posterior al reenvío de paquetes que resume el tráfico, se puede usar para la visibilidad y la contabilidad de la red simple (cuánto de mi tráfico es HTTP vs FTP, o cuánto ancho de banda está siendo utilizado por este departamento o eso , y así sucesivamente. Además, los datos de Netflow se pueden alimentar a los sistemas de detección de anomalías o de intrusión.
- ¿Por qué no reescalamos el vector de coeficiente de una regresión de lazo?
- Si planeo obtener un doctorado en aprendizaje de refuerzo teórico, ¿qué profesores y universidades debería considerar?
- ¿Cuál es el nuevo enfoque o idea en la tecnología de Vicarious Systems?
- ¿Cuál es una explicación intuitiva de un ingenuo clasificador de Bayes?
- Cómo corregir el sobreajuste
Tenga en cuenta que hay formas adicionales de clasificar el tráfico por vistas más granulares que solo los prefijos de 5 tuplas, incluso con una inspección profunda de paquetes que entra en las cargas útiles de paquetes (por ejemplo, análisis HTTP), por lo que Netflow no es el fin de todo / ser -todo conjunto de características en las que se basan la clasificación o las políticas.
Una de las limitaciones de depender únicamente de Netflow es la realidad de que muchas aplicaciones usan números de puerto asignados dinámicamente (a diferencia de los números de puerto conocidos) o, en el efecto contrario, el hecho de que muchas aplicaciones se ejecutan dentro del puerto 80 o 443 , haciendo que la tupla de 5 (que se detiene en los números de puerto TCP) sea insuficientemente informativa.
Del mismo modo, si Netflow se está reuniendo en el medio de la red (por ejemplo, en una red troncal de ISP), y si los usuarios finales están tunelizando su tráfico utilizando VPN de capa de red que agrega opacidad (por ejemplo, IPsec con cifrado), entonces el Netflow los datos solo capturan el sobre externo de los paquetes (que revela los dos puntos finales del túnel) pero no la carga útil de ese sobre externo (que contiene el encabezado del paquete interno). Como resultado, se pierde visibilidad sobre qué aplicaciones se están ejecutando dentro de ese túnel IPsec.
