تُستخدم تقنيتا NetFlow وIPFIX لمراقبة وتحليل تدفق الشبكة. وهما توفران رؤى حول أنماط حركة مرور الشبكة، مما يساعد في تحسين الأداء واستكشاف الأخطاء وإصلاحها وتحليل الأمان.
NetFlow:
ما هو NetFlow؟
نيت فلويُعدّ NetFlow الحل الأصلي لمراقبة تدفق البيانات، والذي طورته شركة سيسكو في أواخر التسعينيات. توجد عدة إصدارات مختلفة منه، ولكن معظم عمليات النشر تعتمد إما على الإصدار الخامس (NetFlow v5) أو الإصدار التاسع (NetFlow v9). على الرغم من اختلاف إمكانيات كل إصدار، إلا أن آلية العمل الأساسية تبقى كما هي.
أولاً، يقوم جهاز التوجيه أو المحول أو جدار الحماية أو أي نوع آخر من الأجهزة بالتقاط معلومات حول "تدفقات" الشبكة، وهي عبارة عن مجموعة من الحزم التي تشترك في مجموعة من الخصائص مثل عنوان المصدر والوجهة، ومنفذ المصدر والوجهة، ونوع البروتوكول. بعد توقف التدفق أو مرور فترة زمنية محددة مسبقًا، يقوم الجهاز بتصدير سجلات التدفق إلى كيان يُعرف باسم "جامع التدفقات".
وأخيرًا، يقوم "محلل التدفق" بتحليل هذه السجلات، موفرًا رؤى قيّمة على شكل رسوم بيانية وإحصائيات وتقارير تاريخية وفورية مفصلة. عمليًا، غالبًا ما يكون جامعو البيانات ومحللوها كيانًا واحدًا، يتم دمجهما عادةً ضمن حلٍّ شامل لمراقبة أداء الشبكة.
يعمل بروتوكول NetFlow على أساس الحالة. فعندما يتصل جهاز العميل بالخادم، يبدأ NetFlow في جمع البيانات الوصفية من التدفق وتجميعها. وبعد انتهاء الجلسة، يُصدّر NetFlow سجلاً كاملاً واحداً إلى المُجمِّع.
على الرغم من شيوع استخدامه، إلا أن NetFlow v5 يعاني من بعض القيود. فالحقول المُصدَّرة ثابتة، والمراقبة مدعومة فقط في اتجاه الدخول، ولا يدعم التقنيات الحديثة مثل IPv6 وMPLS وVXLAN. أما NetFlow v9، المعروف أيضاً باسم Flexible NetFlow (FNF)، فيعالج بعض هذه القيود، مما يسمح للمستخدمين بإنشاء قوالب مخصصة ويضيف دعماً للتقنيات الأحدث.
لدى العديد من الموردين أيضًا تطبيقاتهم الخاصة لبروتوكول NetFlow، مثل jFlow من جونيبر وNetStream من هواوي. ورغم اختلاف التكوين بعض الشيء، فإن هذه التطبيقات غالبًا ما تُنتج سجلات تدفق متوافقة مع مُجمِّعات ومحللات NetFlow.
الميزات الرئيسية لتقنية NetFlow:
~ بيانات التدفق: يقوم NetFlow بإنشاء سجلات تدفق تتضمن تفاصيل مثل عناوين IP المصدر والوجهة والمنافذ والطوابع الزمنية وعدد الحزم والبايتات وأنواع البروتوكولات.
~ مراقبة حركة المروريوفر NetFlow رؤية لأنماط حركة مرور الشبكة، مما يسمح للمسؤولين بتحديد أهم التطبيقات ونقاط النهاية ومصادر حركة المرور.
~الكشف عن الحالات الشاذةمن خلال تحليل بيانات التدفق، يمكن لـ NetFlow اكتشاف حالات شاذة مثل الاستخدام المفرط لعرض النطاق الترددي، أو ازدحام الشبكة، أو أنماط حركة المرور غير العادية.
~ تحليل أمني: يمكن استخدام NetFlow للكشف عن الحوادث الأمنية والتحقيق فيها، مثل هجمات الحرمان من الخدمة الموزعة (DDoS) أو محاولات الوصول غير المصرح بها.
إصدارات NetFlowتطورت تقنية NetFlow بمرور الوقت، وصدرت منها إصدارات مختلفة. من أبرز هذه الإصدارات: NetFlow v5 وNetFlow v9 وFlexible NetFlow. يقدم كل إصدار تحسينات وإمكانيات إضافية.
IPFIX:
ما هو نظام IPFIX؟
يُعدّ معيار IETF، الذي ظهر في أوائل العقد الأول من الألفية الثانية، معيارًا مشابهًا جدًا لمعيار NetFlow. في الواقع، شكّل NetFlow v9 الأساس لمعيار IPFIX. ويكمن الاختلاف الرئيسي بينهما في أن IPFIX معيار مفتوح، ويدعمه العديد من موردي الشبكات إلى جانب شركة Cisco. وباستثناء بعض الحقول الإضافية التي أُضيفت في IPFIX، فإنّ التنسيقات متطابقة تقريبًا. بل يُشار إلى IPFIX أحيانًا باسم "NetFlow v10".
وبفضل أوجه التشابه بينه وبين NetFlow، يحظى IPFIX بدعم واسع النطاق بين حلول مراقبة الشبكة وكذلك معدات الشبكة.
بروتوكول IPFIX (تصدير معلومات تدفق بروتوكول الإنترنت) هو بروتوكول معياري مفتوح تم تطويره بواسطة فريق عمل هندسة الإنترنت (IETF). وهو مبني على مواصفات NetFlow الإصدار 9، ويوفر تنسيقًا موحدًا لتصدير سجلات التدفق من أجهزة الشبكة.
يعتمد بروتوكول IPFIX على مفاهيم NetFlow ويُوسّعها ليُقدّم مرونةً وتوافقًا أكبر بين مختلف الموردين والأجهزة. كما يُقدّم مفهوم القوالب، مما يسمح بتحديد بنية ومحتوى سجلات التدفق ديناميكيًا. وهذا يُتيح إضافة حقول مُخصصة، ودعم بروتوكولات جديدة، وقابلية التوسع.
الميزات الرئيسية لـ IPFIX:
~ نهج قائم على القوالبيستخدم بروتوكول IPFIX قوالب لتحديد بنية ومحتوى سجلات التدفق، مما يوفر مرونة في استيعاب حقول البيانات المختلفة والمعلومات الخاصة بالبروتوكول.
~ قابلية التشغيل البيني: IPFIX هو معيار مفتوح، يضمن إمكانيات مراقبة تدفق البيانات المتسقة عبر مختلف موردي الشبكات والأجهزة.
~ دعم IPv6يدعم IPFIX بشكل أصلي IPv6، مما يجعله مناسبًا لمراقبة وتحليل حركة المرور في شبكات IPv6.
~أمان مُعززيتضمن بروتوكول IPFIX ميزات أمان مثل تشفير أمان طبقة النقل (TLS) وفحوصات سلامة الرسائل لحماية سرية وسلامة بيانات التدفق أثناء الإرسال.
يحظى بروتوكول IPFIX بدعم واسع من مختلف موردي معدات الشبكات، مما يجعله خيارًا محايدًا للبائعين ومعتمدًا على نطاق واسع لمراقبة تدفق الشبكة.
إذن، ما الفرق بين NetFlow و IPFIX؟
الجواب البسيط هو أن NetFlow هو بروتوكول خاص بشركة Cisco تم تقديمه حوالي عام 1996، وIPFIX هو نظيره المعتمد من قبل هيئة المعايير.
يخدم كلا البروتوكولين نفس الغرض: تمكين مهندسي الشبكات ومديريها من جمع وتحليل تدفقات بيانات بروتوكول الإنترنت على مستوى الشبكة. طورت سيسكو بروتوكول NetFlow لتمكين محولاتها وموجهاتها من إخراج هذه المعلومات القيّمة. ونظرًا لهيمنة أجهزة سيسكو، سرعان ما أصبح NetFlow المعيار الفعلي لتحليل حركة مرور الشبكة. مع ذلك، أدرك المنافسون في هذا المجال أن استخدام بروتوكول احتكاري تتحكم فيه الشركة المنافسة الرئيسية ليس خيارًا صائبًا، ولذا قادت فرقة عمل هندسة الإنترنت (IETF) جهودًا لتوحيد بروتوكول مفتوح لتحليل حركة المرور، وهو بروتوكول IPFIX.
يعتمد بروتوكول IPFIX على بروتوكول NetFlow الإصدار 9، وقد طُرح لأول مرة حوالي عام 2005، لكنه استغرق عدة سنوات ليحظى بانتشار واسع في الصناعة. في الوقت الحالي، يُعتبر البروتوكولان متطابقين تقريبًا، ورغم أن مصطلح NetFlow لا يزال أكثر شيوعًا، إلا أن معظم التطبيقات (وإن لم تكن جميعها) متوافقة مع معيار IPFIX.
إليكم جدول يلخص الاختلافات بين NetFlow و IPFIX:
| وجه | نيت فلو | IPFIX |
|---|---|---|
| أصل | تقنية خاصة طورتها شركة سيسكو | بروتوكول قياسي في الصناعة يعتمد على NetFlow الإصدار 9 |
| التقييس | تقنية خاصة بشركة سيسكو | المعيار المفتوح المحدد من قبل IETF في RFC 7011 |
| المرونة | إصدارات متطورة بميزات محددة | مرونة أكبر وقابلية تشغيل متبادلة بين الموردين |
| تنسيق البيانات | حزم ذات حجم ثابت | نهج قائم على القوالب لتنسيقات سجلات التدفق القابلة للتخصيص |
| دعم القوالب | غير مدعوم | قوالب ديناميكية لإدراج الحقول بمرونة |
| دعم البائع | أجهزة سيسكو بشكل أساسي | دعم واسع النطاق من قبل موردي الشبكات |
| قابلية التوسعة | تخصيص محدود | تضمين الحقول المخصصة والبيانات الخاصة بالتطبيق |
| اختلافات البروتوكول | اختلافات خاصة بشركة سيسكو | دعم أصلي لبروتوكول IPv6، وخيارات محسّنة لتسجيل التدفق |
| ميزات الأمان | ميزات أمنية محدودة | تشفير أمان طبقة النقل (TLS)، سلامة الرسائل |
مراقبة تدفق الشبكةتُعنى هذه العملية بجمع وتحليل ومراقبة حركة البيانات التي تمر عبر شبكة معينة أو جزء منها. وتتنوع أهدافها بين استكشاف أخطاء الاتصال وإصلاحها، والتخطيط لتخصيص النطاق الترددي مستقبلاً. كما يمكن أن تكون مراقبة التدفق وأخذ عينات من الحزم مفيدة في تحديد المشكلات الأمنية ومعالجتها.
تُتيح مراقبة تدفق البيانات لفرق الشبكات فهمًا دقيقًا لكيفية عمل الشبكة، إذ تُقدم رؤىً حول الاستخدام العام، واستخدام التطبيقات، والاختناقات المحتملة، والشذوذات التي قد تُشير إلى تهديدات أمنية، وغير ذلك. تُستخدم عدة معايير وتنسيقات مختلفة في مراقبة تدفق البيانات، بما في ذلك NetFlow وsFlow وIPFIX. يعمل كل منها بطريقة مختلفة قليلاً، لكنها جميعًا تختلف عن نسخ المنافذ وفحص الحزم العميق في أنها لا تلتقط محتوى كل حزمة تمر عبر منفذ أو مُبدِّل. ومع ذلك، تُوفر مراقبة تدفق البيانات معلومات أكثر من SNMP، الذي يقتصر عادةً على إحصائيات عامة مثل إجمالي استخدام الحزم وعرض النطاق الترددي.
مقارنة أدوات تحليل تدفق الشبكة
| ميزة | NetFlow الإصدار 5 | NetFlow الإصدار 9 | sFlow | IPFIX |
| مفتوح أو خاص | ملكية خاصة | ملكية خاصة | يفتح | يفتح |
| أخذ العينات أو التدفق | يعتمد بشكل أساسي على التدفق؛ يتوفر وضع أخذ العينات | يعتمد بشكل أساسي على التدفق؛ يتوفر وضع أخذ العينات | تم أخذ العينات | يعتمد بشكل أساسي على التدفق؛ يتوفر وضع أخذ العينات |
| المعلومات التي تم جمعها | البيانات الوصفية والمعلومات الإحصائية، بما في ذلك البايتات المنقولة، وعدادات الواجهة، وما إلى ذلك | البيانات الوصفية والمعلومات الإحصائية، بما في ذلك البايتات المنقولة، وعدادات الواجهة، وما إلى ذلك | رؤوس الحزم الكاملة، حمولات الحزم الجزئية | البيانات الوصفية والمعلومات الإحصائية، بما في ذلك البايتات المنقولة، وعدادات الواجهة، وما إلى ذلك |
| مراقبة الدخول والخروج | الدخول فقط | الدخول والخروج | الدخول والخروج | الدخول والخروج |
| دعم IPv6/VLAN/MPLS | No | نعم | نعم | نعم |
تاريخ النشر: 18 مارس 2024
