NetFlow ۋە IPFIX ئىككىلىسى تور ئېقىمىنى نازارەت قىلىش ۋە تەھلىل قىلىش ئۈچۈن ئىشلىتىلىدىغان تېخنىكىلار. ئۇلار تور ئېقىمى ئەندىزىسىنى چۈشىنىشكە ياردەم بېرىپ، ئىقتىدارنى ئەلالاشتۇرۇش، مەسىلىلەرنى ھەل قىلىش ۋە بىخەتەرلىك تەھلىلىگە ياردەم بېرىدۇ.
تور ئېقىمى:
NetFlow دېگەن نېمە؟
تور ئېقىمىئەسلى ئېقىمنى نازارەت قىلىش چارىسى بولۇپ، دەسلەپتە 1990-يىللارنىڭ ئاخىرىدا Cisco تەرىپىدىن تەرەققىي قىلدۇرۇلغان. بىر قانچە خىل نۇسخىسى بار، ئەمما كۆپىنچە ئورۇنلاشتۇرۇشلار NetFlow v5 ياكى NetFlow v9 غا ئاساسلانغان. ھەر بىر نۇسخىسىنىڭ ئىقتىدارى ئوخشىمىسىمۇ، ئاساسىي مەشغۇلات ئۇسۇلى ئوخشاش:
بىرىنچىدىن، يوللىغۇچ، ئالماشتۇرغۇچ، ئوت ئۆچۈرۈش دېۋارى ياكى باشقا تىپتىكى ئۈسكۈنىلەر تور «ئېقىملىرى» دىكى ئۇچۇرلارنى توپلايدۇ، بۇ ئاساسەن مەنبە ۋە نىشان ئادرېسى، مەنبە ۋە نىشان پورتى ۋە كېلىشىم تىپى قاتارلىق ئورتاق ئالاھىدىلىكلەرگە ئىگە بولغان بىر يۈرۈش پاكېتلار. ئېقىم توختاپ قالغاندىن كېيىن ياكى ئالدىن بېكىتىلگەن ۋاقىت ئۆتكەندىن كېيىن، ئۈسكۈنە ئېقىم خاتىرىلىرىنى «ئېقىم توپلىغۇچى» دەپ ئاتىلىدىغان بىر ئورۇنغا ئېكسپورت قىلىدۇ.
ئاخىرىدا، «ئېقىم ئانالىزاتورى» بۇ خاتىرىلەرنى چۈشىنىشلىك قىلىپ، كۆرۈنۈشلۈك كۆرسىتىش، ستاتىستىكا ۋە تەپسىلىي تارىخىي ۋە ھەقىقىي ۋاقىتلىق دوكلات شەكلىدە چۈشەنچىلەرنى تەمىنلەيدۇ. ئەمەلىيەتتە، توپلىغۇچىلار ۋە ئانالىزاتورلار كۆپىنچە بىر گەۋدە بولۇپ، كۆپىنچە چوڭراق تور ئىقتىدارى كۆزىتىش چارىسىگە بىرلەشتۈرۈلىدۇ.
NetFlow ھالەت ئاساسىدا ئىشلەيدۇ. بىر خېرىدار ماشىنىسى سېرۋېرغا ئۇلانغاندا، NetFlow ئېقىمدىكى مېتا سانلىق مەلۇماتلارنى تۇتۇش ۋە توپلاشقا باشلايدۇ. يىغىن ئاخىرلاشقاندىن كېيىن، NetFlow توپلىغۇچىغا بىر تولۇق خاتىرىنى ئېكسپورت قىلىدۇ.
NetFlow v5 يەنىلا كۆپ ئىشلىتىلىۋاتقان بولسىمۇ، بىر قاتار چەكلىمىلەرگە ئىگە. ئېكسپورت قىلىنغان ساھەلەر مۇقىم، پەقەت كىرىش يۆنىلىشىدە نازارەت قىلىش قوللايدۇ، ھەمدە IPv6، MPLS ۋە VXLAN قاتارلىق زامانىۋى تېخنىكىلار قوللىمايدۇ. Flexible NetFlow (FNF) دەپمۇ ئاتىلىدىغان NetFlow v9 بۇ چەكلىمىلەرنىڭ بەزىلىرىنى ھەل قىلىپ، ئىشلەتكۈچىلەرنىڭ خاسلاشتۇرۇلغان قېلىپلارنى قۇرۇشىغا يول قويىدۇ ۋە يېڭى تېخنىكىلارنى قوللايدۇ.
نۇرغۇن ساتقۇچىلارنىڭ ئۆزلىرىنىڭ NetFlow ئىجرا قىلىش ئۇسۇللىرى بار، مەسىلەن Juniper نىڭ jFlow ۋە Huawei نىڭ NetStream. سەپلىمىسى ئازراق پەرقلىنىشى مۇمكىن، ئەمما بۇ ئىجرا قىلىش ئۇسۇللىرى كۆپىنچە NetFlow توپلىغۇچىلىرى ۋە ئانالىزاتورلىرىغا ماس كېلىدىغان ئېقىم خاتىرىلىرىنى ھاسىل قىلىدۇ.
NetFlow نىڭ ئاساسلىق ئالاھىدىلىكلىرى:
~ ئېقىم سانلىق مەلۇماتلىرىNetFlow مەنبە ۋە مەنزىل IP ئادرېسى، پورت، ۋاقىت بەلگىسى، بولاق ۋە بايت سانى ۋە پروتوكول تىپلىرى قاتارلىق تەپسىلاتلارنى ئۆز ئىچىگە ئالغان ئېقىم خاتىرىلىرىنى ھاسىل قىلىدۇ.
~ يول ھەرىكىتىنى نازارەت قىلىشNetFlow تور ئېقىمى ئەندىزىسىنى كۆرۈش ئىمكانىيىتى بىلەن تەمىنلەيدۇ، بۇ ئارقىلىق باشقۇرغۇچىلار ئەڭ ياخشى قوللىنىشچان پروگراممىلار، ئاخىرقى نۇقتىلار ۋە ئېقىم مەنبەلىرىنى ئېنىقلىيالايدۇ.
~ئانومالىيەنى بايقاشNetFlow ئېقىم سانلىق مەلۇماتلىرىنى تەھلىل قىلىش ئارقىلىق، ھەددىدىن زىيادە بەلۋاغ كەڭلىكىنى ئىشلىتىش، تور قىستاڭچىلىقى ياكى نورمالسىز قاتناش ئەندىزىسى قاتارلىق نورمالسىزلىقلارنى بايقىيالايدۇ.
~ بىخەتەرلىك ئانالىزىNetFlow ئارقىلىق تارقىتىلغان مۇلازىمەتتىن ۋاز كېچىش (DDoS) ھۇجۇملىرى ياكى رۇخسەتسىز كىرىش ئۇرۇنۇشلىرى قاتارلىق بىخەتەرلىك ۋەقەلىرىنى بايقاش ۋە تەكشۈرۈشكە بولىدۇ.
NetFlow نۇسخىلىرىNetFlow ۋاقىتنىڭ ئۆتۈشىگە ئەگىشىپ تەرەققىي قىلىپ، ھەر خىل نۇسخىلىرى تارقىتىلدى. بەزى داڭلىق نۇسخىلىرى NetFlow v5، NetFlow v9 ۋە Flexible NetFlow نى ئۆز ئىچىگە ئالىدۇ. ھەر بىر نۇسخىدا يېڭىلىنىشلار ۋە قوشۇمچە ئىقتىدارلار بار.
IPFIX:
IPFIX دېگەن نېمە؟
2000-يىللارنىڭ باشلىرىدا پەيدا بولغان IETF ئۆلچىمى بولغان تور كېلىشىمى ئېقىمى ئۇچۇرىنى ئېكسپورت قىلىش (IPFIX) NetFlow غا ئىنتايىن ئوخشايدۇ. ئەمەلىيەتتە، NetFlow v9 IPFIX نىڭ ئاساسى بولۇپ خىزمەت قىلغان. ئىككىسىنىڭ ئاساسلىق پەرقى شۇكى، IPFIX ئوچۇق ئۆلچەم بولۇپ، Cisco دىن باشقا نۇرغۇن تور سودىگەرلىرى تەرىپىدىن قوللىنىدۇ. IPFIX غا قوشۇلغان بىر قانچە قوشۇمچە بوشلۇقتىن باشقا، فورماتلار ئاساسەن ئوخشاش. ئەمەلىيەتتە، IPFIX بەزىدە «NetFlow v10» دەپمۇ ئاتىلىدۇ.
NetFlow بىلەن قىسمەن ئوخشاشلىقى سەۋەبىدىن، IPFIX تور كۆزىتىش چارىلىرى ۋە تور ئۈسكۈنىلىرى ئارىسىدا كەڭ قوللاشقا ئېرىشتى.
IPFIX (تور كېلىشىمى ئېقىمى ئۇچۇرىنى ئېكسپورت قىلىش) تور قۇرۇلۇش خىزمەت گۇرۇپپىسى (IETF) تەرىپىدىن ئىجاد قىلىنغان ئوچۇق ئۆلچەملىك كېلىشىم. ئۇ NetFlow 9-نۇسخىسىنىڭ ئۆلچىمىگە ئاساسلانغان بولۇپ، تور ئۈسكۈنىلىرىدىن ئېقىم خاتىرىلىرىنى ئېكسپورت قىلىش ئۈچۈن ئۆلچەملەشكەن فورمات بىلەن تەمىنلەيدۇ.
IPFIX NetFlow ئۇقۇملىرىغا ئاساسلىنىپ، ئۇلارنى كېڭەيتىپ، ھەر خىل ساتقۇچىلار ۋە ئۈسكۈنىلەر ئارىسىدا تېخىمۇ كۆپ ئەركىنلىك ۋە ئۆزئارا ماسلىشىشچانلىق بىلەن تەمىنلەيدۇ. ئۇ قېلىپ ئۇقۇمىنى تونۇشتۇرۇپ، ئېقىم خاتىرىسى قۇرۇلمىسى ۋە مەزمۇنىنى دىنامىك جەھەتتىن ئېنىقلاشقا يول قويىدۇ. بۇ خاسلاشتۇرۇلغان بوشلۇقلارنى قوشۇش، يېڭى كېلىشىملەرنى قوللاش ۋە كېڭەيتىش ئىقتىدارىنى ئىشقا ئاشۇرىدۇ.
IPFIX نىڭ ئاساسلىق ئالاھىدىلىكلىرى:
~ قېلىپقا ئاساسلانغان ئۇسۇلIPFIX ئېقىم خاتىرىلىرىنىڭ قۇرۇلمىسى ۋە مەزمۇنىنى بەلگىلەش ئۈچۈن قېلىپلارنى ئىشلىتىدۇ، بۇ ئارقىلىق ھەر خىل سانلىق مەلۇمات مەيدانلىرى ۋە كېلىشىمگە خاس ئۇچۇرلارنى ماسلاشتۇرۇشتا ئەركىنلىك بىلەن تەمىنلەيدۇ.
~ ئۆزئارا ماسلىشىشچانلىقىIPFIX ئوچۇق ئۆلچەم بولۇپ، ھەر خىل تور ئىشلەپچىقارغۇچىلار ۋە ئۈسكۈنىلەرنىڭ ئېقىمنى مۇقىم نازارەت قىلىش ئىقتىدارىنى كاپالەتلەندۈرىدۇ.
~ IPv6 قوللاشIPFIX ئەسلىدىلا IPv6 نى قوللايدۇ، بۇ ئۇنى IPv6 تورلىرىدىكى قاتناشنى نازارەت قىلىش ۋە تەھلىل قىلىشقا ماسلاشتۇرىدۇ.
~كۈچەيتىلگەن بىخەتەرلىكIPFIX يەتكۈزۈش جەريانىدا ئېقىم سانلىق مەلۇماتلىرىنىڭ مەخپىيلىكى ۋە پۈتۈنلۈكىنى قوغداش ئۈچۈن، توشۇش قەۋىتى بىخەتەرلىكى (TLS) شىفىرلاش ۋە ئۇچۇر پۈتۈنلۈكىنى تەكشۈرۈش قاتارلىق بىخەتەرلىك ئىقتىدارلىرىنى ئۆز ئىچىگە ئالىدۇ.
IPFIX ھەر خىل تور ئۈسكۈنىلىرى ساتقۇچىلىرى تەرىپىدىن كەڭ كۆلەمدە قوللىنىلىدۇ، بۇ ئۇنى ساتقۇچىغا قارىمايدىغان ۋە تور ئېقىمىنى نازارەت قىلىش ئۈچۈن كەڭ قوللىنىلىدىغان تاللاشقا ئايلاندۇرىدۇ.
ئۇنداقتا، NetFlow بىلەن IPFIX نىڭ پەرقى نېمە؟
ئاددىي جاۋاب شۇكى، NetFlow 1996-يىلى تونۇشتۇرۇلغان Cisco نىڭ مەخسۇس پروتوكولى، IPFIX بولسا ئۇنىڭ ئۆلچەم ئورگىنى تەرىپىدىن تەستىقلانغان قېرىندىشى.
ئىككى خىل كېلىشىم ئوخشاش مەقسەتكە خىزمەت قىلىدۇ: تور ئىنژېنېرلىرى ۋە باشقۇرغۇچىلارنىڭ تور سەۋىيەسىدىكى IP قاتناش ئېقىمىنى توپلاش ۋە تەھلىل قىلىشىغا شارائىت ھازىرلايدۇ. سىسكو شىركىتى NetFlow نى ئۆزىنىڭ كوممۇتسىيېكتورلىرى ۋە يوللىغۇچلىرىنىڭ بۇ قىممەتلىك ئۇچۇرلارنى چىقىرىشى ئۈچۈن ئىجاد قىلدى. سىسكو ئۈسكۈنىلىرىنىڭ ئۈستۈنلۈكىنى كۆزدە تۇتقاندا، NetFlow تېزلا تور قاتناش ئانالىزى ئۈچۈن ئەمەلىي ئۆلچەمگە ئايلاندى. قانداقلا بولمىسۇن، كەسىپ رىقابەتچىلىرى ئاساسلىق رەقىبى كونترول قىلىدىغان مەخسۇس كېلىشىمنى ئىشلىتىشنىڭ ياخشى پىكىر ئەمەسلىكىنى ھېس قىلدى، شۇڭا IETF قاتناش ئانالىزى ئۈچۈن ئوچۇق كېلىشىمنى، يەنى IPFIX نى ئۆلچەملەشتۈرۈشكە كۈچ چىقاردى.
IPFIX NetFlow نىڭ 9-نەشرىگە ئاساسلانغان بولۇپ، دەسلەپتە 2005-يىلى تونۇشتۇرۇلغان، ئەمما كەسىپتە قوللىنىلىشىغا بىر قانچە يىل ۋاقىت كەتكەن. بۇ نۇقتىدا، بۇ ئىككى پروتوكول ئاساسەن ئوخشاش بولۇپ، NetFlow دېگەن سۆز يەنىلا كەڭ تارقالغان بولسىمۇ، كۆپىنچە ئىجرا قىلىش ئۇسۇللىرى (ھەممىسى ئەمەس) IPFIX ئۆلچىمىگە ماس كېلىدۇ.
بۇ يەردە NetFlow بىلەن IPFIX نىڭ پەرقىنى قىسقىچە بايان قىلىدىغان جەدۋەل كۆرسىتىلدى:
| جەھەت | تور ئېقىمى | IPFIX |
|---|---|---|
| كېلىپ چىقىشى | سىسكو شىركىتى تەرىپىدىن ئىجاد قىلىنغان خاس تېخنىكا | NetFlow 9-نەشرىگە ئاساسلانغان كەسىپ ئۆلچىمىدىكى پروتوكول |
| ئۆلچەملەشتۈرۈش | سىسكوغا خاس تېخنىكا | RFC 7011 دە IETF تەرىپىدىن ئېنىقلانغان ئوچۇق ئۆلچەم |
| ئېلاستىكلىق | ئالاھىدە ئالاھىدىلىكلەرگە ئىگە تەرەققىي قىلغان نۇسخىلار | ساتقۇچىلار ئارىسىدا تېخىمۇ چوڭ ئەركىنلىك ۋە ئۆزئارا ماسلىشىشچانلىق |
| سانلىق مەلۇمات فورماتى | بەلگىلەنگەن چوڭلۇقتىكى بولاقلار | خاسلاشتۇرغىلى بولىدىغان ئېقىم خاتىرىسى فورماتلىرى ئۈچۈن قېلىپقا ئاساسلانغان ئۇسۇل |
| قېلىپ قوللاش | قوللىمايدۇ | ئەركىن مەيدان قوشۇش ئۈچۈن دىنامىك قېلىپلار |
| ساتقۇچى قوللاش | ئاساسلىقى Cisco ئۈسكۈنىلىرى | تور سودىگەرلىرىنىڭ كەڭ كۆلەملىك قوللىشى |
| كېڭەيتىلىشچانلىقى | چەكلىك خاسلاشتۇرۇش | خاسلاشتۇرۇلغان بوشلۇقلار ۋە قوللىنىشچان پروگراممىغا خاس سانلىق مەلۇماتلارنى قوشۇش |
| پروتوكول پەرقى | Cisco غا خاس ئۆزگىرىشلەر | يەرلىك IPv6 قوللىشى، كۈچەيتىلگەن ئېقىم خاتىرىسى تاللانمىلىرى |
| بىخەتەرلىك ئالاھىدىلىكلىرى | چەكلىك بىخەتەرلىك ئىقتىدارلىرى | توشۇش قەۋىتى بىخەتەرلىكى (TLS) شىفىرلاش، ئۇچۇر پۈتۈنلۈكى |
تور ئېقىمىنى كۆزىتىشمەلۇم بىر تور ياكى تور بۆلىكىدىن ئۆتىدىغان قاتناش مىقدارىنى توپلاش، تەھلىل قىلىش ۋە نازارەت قىلىش. مەقسەتلەر ئۇلىنىش مەسىلىلىرىنى ھەل قىلىشتىن تارتىپ كەلگۈسىدىكى تور كەڭلىكىنى تەقسىملەشنى پىلانلاشقىچە ئوخشىماسلىقى مۇمكىن. ئېقىمنى نازارەت قىلىش ۋە تور بەتلىرىنى ئەۋرىشكە ئېلىش ھەتتا بىخەتەرلىك مەسىلىلىرىنى بايقاش ۋە تۈزىتىشتە پايدىلىق بولۇشى مۇمكىن.
ئېقىم كۆزىتىش تور گۇرۇپپىلىرىغا تورنىڭ قانداق ئىشلەۋاتقانلىقى توغرىسىدا ياخشى چۈشەنچە بېرىدۇ، ئومۇمىي ئىشلىتىش، قوللىنىشچان پروگراممىلارنىڭ ئىشلىتىلىشى، مۇمكىن بولغان توسالغۇلار، بىخەتەرلىك تەھدىتىنى كۆرسىتىدىغان نورمالسىزلىقلار ۋە باشقا نۇرغۇن نەرسىلەر توغرىسىدا چۈشەنچە بېرىدۇ. تور ئېقىمىنى كۆزىتىشتە NetFlow، sFlow ۋە تور كېلىشىمى ئېقىم ئۇچۇرىنى ئېكسپورت قىلىش (IPFIX) قاتارلىق بىر قانچە خىل ئۆلچەم ۋە فورمات ئىشلىتىلىدۇ. ھەر بىرىنىڭ ئىشلىشى ئازراق ئوخشىمايدۇ، ئەمما ھەممىسى پورت ئەينىكى ۋە چوڭقۇر پاكېت تەكشۈرۈشىدىن پەرقلىنىدۇ، چۈنكى ئۇلار پورتتىن ياكى ئالماشتۇرغۇچتىن ئۆتىدىغان ھەر بىر پاكېتنىڭ مەزمۇنىنى تۇتالمايدۇ. قانداقلا بولمىسۇن، ئېقىم كۆزىتىش SNMP غا قارىغاندا كۆپرەك ئۇچۇر بىلەن تەمىنلەيدۇ، ئۇ ئادەتتە پاكېت ۋە بەلۋاغ كەڭلىكى ئىشلىتىش قاتارلىق كەڭ دائىرىلىك ستاتىستىكىلار بىلەنلا چەكلىنىدۇ.
تور ئېقىمى قوراللىرىنى سېلىشتۇرۇش
| ئالاھىدىلىك | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| ئوچۇق ياكى خۇسۇسىي | مۈلۈكچىلىك | مۈلۈكچىلىك | ئېچىق | ئېچىق |
| ئۈلگە ئېلىنغان ياكى ئېقىمغا ئاساسلانغان | ئاساسلىقى ئېقىمغا ئاساسلانغان؛ ئۈلگە ئېلىش ھالىتى بار | ئاساسلىقى ئېقىمغا ئاساسلانغان؛ ئۈلگە ئېلىش ھالىتى بار | ئەۋرىشكە ئېلىندى | ئاساسلىقى ئېقىمغا ئاساسلانغان؛ ئۈلگە ئېلىش ھالىتى بار |
| قولغا چۈشۈرۈلگەن ئۇچۇرلار | مېتا سانلىق مەلۇمات ۋە ستاتىستىكىلىق ئۇچۇرلار، جۈملىدىن يۆتكەلگەن بايتلار، ئىنتېرفېيس ساناشلىرى قاتارلىقلار | مېتا سانلىق مەلۇمات ۋە ستاتىستىكىلىق ئۇچۇرلار، جۈملىدىن يۆتكەلگەن بايتلار، ئىنتېرفېيس ساناشلىرى قاتارلىقلار | تولۇق بولاق باشلىقى، قىسمەن بولاق يۈكى | مېتا سانلىق مەلۇمات ۋە ستاتىستىكىلىق ئۇچۇرلار، جۈملىدىن يۆتكەلگەن بايتلار، ئىنتېرفېيس ساناشلىرى قاتارلىقلار |
| كىرىش/چىقىشنى نازارەت قىلىش | پەقەت كىرىش | كىرىش ۋە چىقىش | كىرىش ۋە چىقىش | كىرىش ۋە چىقىش |
| IPv6/VLAN/MPLS قوللاش | No | ھەئە | ھەئە | ھەئە |
ئېلان قىلىنغان ۋاقىت: 2024-يىلى 3-ئاينىڭ 18-كۈنى
