YAF - это программное обеспечение Yet Another Flowmeter, которое продвигает использование SiLK для обнаружения некоторых типов атак. YAF может использоваться как зонд NetFlow для улучшения мониторинга сетевого трафика, правда метрики собираемые им не настолько сложные и информативные, как у nBox.
Конфигурация YAF примерно делается так.

sudo yaf –in eth0 –live pcap –out 10.1.4.66 –ipfix udp –ipfix-port=2002 –stats=300 –mac –idle-timeout=60 –active-timeout=60 –udp-temp-timeout=300 –force-read-all –silk –observation-domain=42 –flow-stats –delta –ingress=1 –egress=1 –max-payload=128 –export-payload –udp-payload –entropy –applabel –p0fprint –fpexport

Некоторые опции, указанные выше, не обязательны, некоторые - наоборот. Например, использовать "-silk" очень важно, поскольку это влияет на экспорт. Описания каждой опции доступны на сайте YAF. Интересно, что, также как и ряд устройств безоп ... Читать дальше »

Недавно появилась возможность экспортировать традиционные форматы сообщений, такие как syslogs, Microsoft Event logs, SNMP и др. как IPFIX. И используя любой IPFIX коллектор, в который посылает syslogs в формате IPFIX новая утилита IPFIXify, можно получать отчетность на основе этих данных.  Ниже лист отчетов, которые можно получать на основе данных syslogs с помощью анализатора потока той же компании Plixer - Scrutinizer Flow Analyzer:

    • Syslog: Facility
    • Syslog: Facility by Source
    • Syslog: Severity
    • Syslog: Severity by Source
    • Syslog: Source Details
    • Syslog: Messages
    • Syslog: Top Sources

И очень важно то, что утилита бесплатна как для пользователей, так и производителе, которые могут ее поставлять вместе со своим оборудованием /системами.
Пример конфигурации показан ниже:
... Читать дальше »

Технология компании Alcatel-Lucent Application-Assured Virtual Private Network (AA-VPN) включает в себя поддержку IPFIX на SR7750 (Service Router) и 7450 ESS (Ethernet Service Switch).
Решение AA-VPN основано на Multi-Service Integrated Service Adapter (MS-ISA), который производит высокопроизводительную обработку пакетов и может создавать отчетность о производительности TCP- и RTR/UDP-приложений при помощи cflowdv10, который совместим с IPFIX. По их информации, можно получать информацию о:
    • Задержку  для TCP-клиента и сервера (round trip delay)
    • Степень потери пакетов VoIP и видео
    • RTP payload type
    • Детали MOS и многое другое

Подробно об этом ... Читать дальше »

Cisco выпустила Catalyst 4948E - первое устройство, которое поддерживает IPFIX в дополнение к поддержке  NetFlow-Lite. Эта тенденция подчеркивает популярность IPFIX и его принятие компанией Cisco в области, которую до сих пор занимал протокол NetFlow. Основное различие в том, что IPFIX сейчас предлагается в качестве стандарта потока в RFC 5101 и 5102. Кстати, знаете ли вы, что Cisco является одним из основных пропагандистом IPFIX? А Flexible NetFlow, хотя и появился уже примерно 4 года назад и базируется на NetFlow v9, все еще менее популярен, чем NetFlow v5. Почему? В основном потому, что большинство пользовательских конфигураций требуют работ, по его ... Читать дальше »