Netflow

Netflow ist eine Technik, bei der ein Gerät, in der Regel ein Router oder Layer-3-Switch, Informationen über den IP-Datenstrom in das Gerät per UDP exportiert. Diese UDP-Datagramme werden von einem Netflow-Kollektor empfangen, gespeichert und verarbeitet. Die anfallenden Daten werden zur Verkehrsanalyse, zur Kapazitätsplanung oder zur QoS-Analyse verwendet.

Technik

Netflow Architektur

Netflow war ursprünglich eine Cisco-Technik, wird jetzt jedoch von vielen Herstellern unterstützt. Neben Netflow gibt es auch noch cFlow (Juniper) und Netstream (Huawei). Beide sind technisch identisch mit Netflow. Es existieren verschiedene Versionen von Netflow. Netflow Version 9 ist als offener Standard in der RFC 3954 beschrieben. Netflow Version 5 ist die in der Praxis am häufigsten verwendete Version. sFlow (RFC 3176) verwendet statistisches Sampling und ist inkompatibel zu Netflow. Es existieren jedoch Konverter. Der IPFIX Standard (RFC 3917) wird herstellerunabhängig entwickelt und stellt eine Erweiterung von Netflow Version 9 dar.

Ein Flow enthält typischerweise folgende Informationen:

• Versionsnummer und Sequenznummer
• Zeitstempel
• Byte- und Paketzähler
• Quell- und Ziel-IP-Adressen
• Quell- und Ziel-IP-Ports
• Ingress- und Egress-Port-Nummern
• TOS-Informationen
• AS-Nummern (BGP 4)
• TCP-Flags
• Protokoll-Typ (z. B. TCP, UDP oder ICMP)

Je nach Netflow-Version unterscheidet sich der Inhalt der Exportdatagramme leicht. Detaillierte Information können auf der Cisco-Seite gefunden werden.

Anwendung

Netflow ist, wie SNMP, ein passives Messverfahren. D. h. man beobachtet den Verkehr ohne diesen zu beeinflussen. Wie alle passiven Messverfahren, so erzeugt auch Netflow Volumen-Informationen, typischerweise kBit/s.

Um die Netflow-Daten analysieren zu können, ist eine Kollektor-Software notwendig. Es werden in der Regel zwei Arten von Analysen durchgeführt:

• Top-N-Analysen
• Zeitanalysen

Bei Top-N-Analysen werden in einem frei definierbaren Zeitraum, z. B. 24 Stunden, diejenigen Elemente gesucht, die den meisten Verkehr erzeugen. Kriterien können Sender-IP-Adressen (Top Talker), TCP-Ports (Top Applications) oder andere Einträge aus dem Netflow-Datagramm sein.

Zeitanalysen zeigen das Volumen von Verkehrskomponenten über einer Zeitachse.

Da die Netflow-Datagramme per UDP übertragen werden, muss der Kollektor schnell genug sein, die Daten zu empfangen, zu verarbeiten und zu speichern. Verlorene Datagramme können nicht wiederhergestellt werden. Besonders problematisch ist deshalb die Übertragung von Netflow-Daten über WAN-Strecken. Verteilte Systeme haben sich hier besonders gut bewährt. Einige Systeme sind in der Lage, Auswertungen in einem zentralen Data-Mart vorzuhalten. Das hat den Vorteil, dass Daten nicht wiederholt und mehrfach über WAN Strecken übertragen werden müssen.

Im Service Provider Umfeld ist die Mandantenfähigkeit eine wichtige Eigenschaft von Netflow Systemen. Diese stellt sicher, dass Teilnehmer nur die für sie jeweils relevanten Daten einsehen können.

Freie Software

• flowd NetFlow collector
• flow-tools NetFlow analysis software
• NetWork analysis software
• nfdump, Kollector und Analyse Werkzeuge und nfsen, Webfrontend zu nfdump
• Stager, Analysetool für Netflow-Daten
• PMACCT Netflow, sFlow Collector. Verwendet libpcap

Kostenlose Software

• Solarwinds NetFlow Analyzer (Windows)

Kommerzielle Software

Produkteigenschaften

Produkt	Netflow	cFlow	jFlow	Netstream	sFlow	IPFIX	Verteilt	Mandantenfähig	Zentraler Data-Mart
AdvaICT NetHound (online service)	Ja	Nein	Nein	Nein	Nein	Nein	Nein	Ja	Ja
Caligare Flow Inspector	Ja	Ja	Ja	Ja	Nein	Nein	Ja	Ja	Ja
Cisco	Ja	Ja	Ja	Ja	Nein	Nein	Nein	Nein	Nein
IBM Aurora	Ja	Ja	Ja	Ja	Ja	Ja	Ja	Nein	Nein
Infosim StableNet	Ja	Ja	Ja	Ja	Ja	Ja	Ja	Ja	Ja
INVEA-TECH FlowMon	Ja	Ja	Ja	Ja	Ja	Ja	Ja	Ja	Ja
Ipswitch WhatsUp	Ja	Ja	Ja	Ja	Ja	Ja	Ja	Ja	Ja
IsarFlow	Ja	Ja	Ja	Ja	Nein	Ja	Ja	Ja	Ja
IS-IT-ON NetFlow Analyzer	Ja	Nein	Nein	Nein	Nein	Nein	Ja	Ja	Ja
NetFlow Tracker	Ja	Ja	Ja	Ja	Ja	Ja	Ja	Ja	Ja
ManageEngine NetFlow Analyzer	Ja	Ja	Ja	Ja	Ja	Ja	Ja	Ja	Ja
Paessler PRTG Network Monitor	Ja	Nein	Nein	Nein	Ja	Nein	Ja	Ja	Ja
Riverbed Cascade	Ja	Ja	Ja	Ja	Ja	Ja	Ja	Nein	Ja
SolarWinds Orion NetFlow Traffic Analyzer	Ja	Nein	Ja	Nein	Ja	Ja	Ja	Ja	Ja