Free NetFlow Resources

先週、Plixer Internationalの最新のネットフローとsフロー解析ツールである、Scrutinizer v7.3で利用可能な、新しいフロー解析ツールをご紹介するブログシリーズを始めました。ネットワーク管理者としては、メーラーワームのようなコンピュータウィルスによって感染するかもしれないネットワークのホストを認識しようとして、あなたが時間を費やすことになるとを確信しています。メーラーワームは、一部のドメインにスパムを送る時に、メールサーバーにDNS lookups をしなければなりません。 DNS violationは、シングルホストから来る多くのDNS lookupsを探しています。短い間隔で、多くのDNSクエリを送り出しているいずれのホストも調べられるべきです。閾値はシンプルで、そしてフロー解析のガジェット概要“インバウンド閾値”の中に設定することが可能です。この番号は、ホストが5分以内の間隔に行うDNS　lookups の数を反映しています。 もちろん、それらは例外です。 Scrutinizer自体も、見ているIPアドレスの大きなDNSキャッシュメモリーを構成するために多くのlookupsを行っています。今回のケースでは、誤検出を避ける為に、ScrutinizerサーバのIPアドレスをこのアルゴリズムに入れないようにしたいです。それらの全てのモデルは、改良されたネットワークトラフィック解析によって、私たちのお客様をお助けすることを意図しています、そして、私は、多くの新しい機能とScrutinizer　v7.3から入手できる報告について、近いうちにブログに書きますので、確認してみてください。 -Scott

プロトコルレベルにおいて、今日類似挙動の特性を共有しているアプリケーションの集中によって、トラフィックを引き起こしている現存アプリケーションが何かを究明するために、深くパケット検査段階を踏む必要があります。有難いことに、Ciscoは、私たちのために、すでにアプリケーション認証の基本となる-ネットワーク (NBAR)と呼ばれる 事を行っています。私たちは、最近のブログでNBARサポートとネットワークトラフィック解析において改善する方法について説明しました。
一度、ネットフローでNBARのエクスポートを有効にすると、融通の利くネットフローをサポートしてから、いくつかの異なるテンプレートが放り出されることに気が付くでしょう。
以下に見られる、全てのNBARアプリケーションを放り出されたテンプレートのひとつは、深くパケット認証を行っています:

 上記のページネーションは、24ページのうち、最初の25だけを示しているということを覚えておいてください！ NBARネットフローによって放り出された他のテンプレートは、新しい“NBARアプリケーション”分野での現存フローです。これらは、以下に示されたように、私たちの報告のために使用しているフローです:

Ciscoは、パケット記述言語モジュール(PDLM)を使用しているNBARアプリケーションを定義することを認めています。彼らは、分類されていないトラフィック、または、一致したプロトコルの命令文のように、特別にサポートされていないトラフィック上で、一致するように作られています。解読すること、または、PDLMsの構築は、Cisco　IOSの基本知識よりも求められています。もしあなたが野心家であるならば、定義されたNBARアプリケーションのために、Scrutinizerフロー解析で、あなた自身で設定閾値を築くことができます。
もし、あなたがNBAR、または、ネットフローに関して、質問がありましたら、私たちに連絡してください。
Michael Patterson
Scrutinizer Product Manager

私たちの多くのお得意様にとって、スキャンする事ができるネットフローコレクターは、とても重要です。500近いお客様は、CiscoのNetFlowまたは、100以上のデバイスからなるsFlowを収集しています。調整することが可能なNetFlow分析の解決策は、とても重要であるということを理解しています。
Scrutinizerのスケール
私は、先週政府のお客様と一緒に仕事をしました。結合した1736のインターフェイスで440ルータからネットフローを受信している、彼のScrutinizer上の重要部分を調べてみてください。あなたはたびたび、私がとても大きなボリュームのルータと比較的軽い集合体のネットフローボリュームを見ることに驚かれることでしょう。あなたがご覧になった通り、Scrutinizerは、休みなく音を立てて進んでいました。
 
 

見守るべきこと
200UDPを超えるネットフローのデータグラム（毎秒毎に約6,000フロー）を送っているルータは、データベースにとても大きなテーブルを作っています。個別のテーブルが大きくなり過ぎると、初期段階のレポートの際に、低速応答を引き起こす可能性があります。このことは、エッジルータに関するレポートが早い理由であり、そして、コア・ルータの報告では、更に数秒要する可能性があります。Scrutinizerは、フローボリュームのブレークダウンによって、この板ばさみ状態の手がかりとなります:

コレクター毎
リスニングポート毎（例えば、2055)
ルータ毎

私たちは、同じ種類においてフローが抜け落ちることにも注意を払っています。有能なネットフローの報告ツールは、この情報もまた提供するはすです。このことについては、おってブログに乗せます。今は、上記のスクリーンキャプチャでのMFSN傾向に注意しておいてください。
概要
私は、一度、二つのcatalystスイッチだけを持つお客様と一組のScrutinizerのコピーを持つ200を超えるインターフェイスを見たことがあります。今や、私たち個有のライセンス供与により、払ったお金に見合うだけのものを得ます。Scrutinizerは、世界のいくつかの大きなネットワークと比例し、変化します。
Michael Patterson
Scrutinizer Product Manager

私はRiverbedから、バージョン６がまだ発売されていないにも関わらず、NetFlowV9がサポートされるという良いニュースを聞きました。その正確な日にちはまだ決まっていません。
 
私はこのことについて調べることに決め、Riverbedを通して開発者と話し合いました。彼はEgress（出ていく）はデフォルトで有効にされているV9でサポートされています。
 
なぜEgressはとても重要なのでしょう？
 
どうしてEgress フローがWAN Optimizationに必要不可欠なのか理解するには、NetFlowを使っているBest Practices for Cisco WAAS Reporting についての私のブログを読む必要があります。
手短に言うと、出て行くフローなしではNetFlow アナライザーソフトウェアは、アウトバウンドデータを表示するためにイングレス（入ってくる）フローを使わなければなりません。もしデータが圧縮されたら、外に出ているアウトバウンドを表示するためにイングレスフローを使うことはバイトの縮小を示さないでしょう。
 
私たちの顧客の多くはCisco WAAS とRiverbed Steelheadハードウェアを所有し、両方の会社と提携を結んでいるので、私は定期的にブログを更新し、私が思う必要なテクノロジーのことをサポートするようベンダーに働きかけてきました。
RiverbedのCisco NetFlow v9に対するサポートは長い間行われています。私は彼らがこのような調査を最終的に出したことを嬉しく思っています。
 
Riverbed パフォーマンス　テスト
Keith Schultz氏は InfoWorld on Riverbed and WAN Accelerationでの研究を出版しました。Scrutinizer はNetFlowのデータを表示するのに使われていました。私はもし彼が研究室に戻ってきたらNetFlowのレポートテストのためにKeithにScrutinizer v7を使ってほしいです。
 
Riverbedは私たちの提携パートナーの一人で、2008年7月からRiverbed® Technology Alliance Programのメンバーです。
 
WAN利用について学ぶ
 
D.C.DouglasはWAN レポートの中のビデオ概要基礎ではよい働きをしました。
Optimizationは重要ですが、より多くの通信帯域幅をただ買い続けることはできないのです。
Michael Patterson
Scrutinizer プロダクトマネージャー

私たちは、このトピックで多くの質問をいただきました。
個人的に、私は、ほとんどの場合、YouTubeに発表しているいくつかの事柄を偏向しています。
このwebcastは、Scrutinizer　v6.Xを使用し、記録されていますが、もしあなた方の質問がnetwork traffic analysisのためのsFlowとNetFlow Collectionの違いに関するものだとしたら、その内容は、まだ非常に有益であると考えています。
 
ご自由にPlixerのYouTubeをご覧ください。
 
Brad Reeseの助言により私たちは、NetworkWorldに “NetFlowよりsFlowの方がよいということをよく見よ”と言う記事を公表しました。これは、技術的洞察にとても良いと思います。
 
TechWiseTVのJimmy-Ray事務長が一度Network Worldのブログに書かれていたコメントによると、「両方をインストールし、両方を弄り回して、データを抽出してみて、NetFlowをより好む理由は、
 
＊    より多くの設定オプションがある。
＊    よりフル装備の無料コレクターがある。
＊    他のapplication off systemにより,自分のものにすることができる詳細でエクスポート可能な記録がある。
＊    MPLSに関して、NetFlowが優れている
＊    NetFlowは、より進化すると思われる。sFlowは、いくつかバージョンがアップグレードしているが、マルチな設定オプションは、ない。
 
私は、誰もがJimmy-Ray事務長とRobb　Boydを好きだと思います。彼らの表現は素晴しいです。彼らは、Ciscoに偏見をもった数少ないベンダーですが、しかしその反面、Ciscoは、とても手強い相手であるということを覚えておいてください。
 
Enterasys の両サポート　
Enterasysの人々は、彼らのNシリーズのスウィッチでNetFlowを、CシリーズでsFlowを実行しています。両方の実行は、ハードウェアにて行われています。どちらがいいのでしょうか？最も公平な意見を彼らから得ることができるでしょう。
 
Jon　Mills
Marketing　＆　Public　Relation　Manager

Huawei-3Com Co., Ltd (H3C)　によって開発されましたPlixer　InternationalからのScrutinizer　NetFlow と sFlow Analyzerは、NetStream パケットをサポートすることができます。
Huawei-3Com Co., Ltd (H3C) は、2003年11月にHuawei と 3Com の共同事業として、運営を開始しました。 2006年に3Comは、HuaweiのH3Cの株を買い取ることによって、彼らは、正式に別々の方向性に進みました。H3Cは、中国にある3Comのように、Huawei が合意した非競合協定が終了するまで繁栄し続けていました。
しかしながら、NetStream パケットは、共同事業とともに進んでいました。NetStreamパケットは、多くのNetFlow analyzers に支えられて、容易に3型を作り、現在、NetFlow パケットの型v5/v8/v9に似た、　v5/v8/v9の3型があります。
しかし、NetStream パケットの解説情報のインターフェイスは、スタンダードMIB II を使用せずに、彼らの所有するインターフェースMIBを使用しています。
Huaweiのスイッチやルーターを使用しているトルコの顧客と密接に働いて、Huawei のインターフェイスインデックスにアクセスするコードを開発し、NetStreamパケットのための正しいインターフェイス情報を報告することができました。
もしあなたがHuaweiか、またはNetStream をサポートしている3Com のネットワーク機器を使用し、あなたのネットワークをモニタリングするツールのためにScrutinizerを使用したいとお考えなら、たならば、詳しくは、Plixer Technical Supportまでご連絡をお願いいたします。
- Joanne

Scrutinizer　v7.2の発売において、Scrutinizer　v6を稼動しているお客様にアップグレード/移動経路を提案していました。私は、何人かのお客様から「なぜ、アップグレードする必要があるのですか？」や「私たちが現在持っていないもので、Scrutinizerから何を得ることができますか？」と聞かれました。
先週、Plixerのネットワークトラフィック分析論のアップグレードされた発売により、これらの質問の答えは、非常に明確になりました。
Scrutinizer v7.3によって、Plixer International は、なぜNetFlowとsFlowトラフィック分析論において、リーダーなのかを表しています。NBARサポート、新しい報告フィルターの数、そして新しい分析ツールの数の全てによって、あなたのネットワーク上で何が起きているのか、より簡単に分析します。
不正な動きのアルゴリズムは、多くのホストを通過している点滅したポートをスキャンする人々を捕まえるために設計されています。
このことは、通常、攻撃に通用するサービスがあるかどうか確認するために、ホストは、ホストIPごとに、1回フローを送るということを意味します。
この図表は、同じサブネット上で、ひとつのホストが複数のホストへパケットを送っていることを表しています。このケースでは、80ポートのウェブサービスを監視しています。
ひとつのサーバーだけが応答しました。このことは、“インターネットの悪者”が1x.1.1.1で更なる攻撃をするであろうと言うことを示しています。
このアルゴリズムの閾値は、以下によって設定可能です:
Admin Tab -> Settings -> Flow Analytics
不正な動きの閾値は、固有の起点/機器の数が比率の中のTCPフローが侵害する必要のある送り先にセットされています。
不正な動きの比率は、起点アドレス、例えば、10：1あたりのフローごとのパケット比率です。1：1のような低い比率は、通常、不正な動きを表しています。
疑わしげに見えたトラフィックを偶然見つけることは、遠い過去のことになってしまいました。Scrutinizer v7.3 とフロー分析論によって、今、あなたは、ネットワーク上で警報を出すことが可能になります。
私は、Scrutinizer v7.3の全ての新しい特徴と報告を近日中にブログに書きますので、確認してみてください。
-Scott

Scrutinizerv7.2 NetFlowアナライザーとSフFlowアナライザーが発売されます。完全なアップデートへのログインは私たちのウェブサイトにあります。V6からｖ7.2の移行も行われています。移行に関するアシスタントはPlixer +1(207)324-8805 までご連絡下さい。
 
ネットワークトラフィック分析のための多くの新しい特徴を網羅するために２つのウェブ放送を提供しています。
・    新しいレポート“Flows”はフローアナリティクスで使用可能
・    ネットフローでDDoS攻撃を見抜く点において信頼性をもつ新しいアルゴリズム
・    フレキシブルネットフローで報告している改良されたCisco　ASA　
・    その他いくつかの特徴やバグ修正
 
私たちはウェブ放送の間、次のことにとても重点を置いています。
　Cisco ASA レポート
ネットフローv9を使用しているCisco ASA 安全装置に関する最新のネットフローレポートをチェック（10分）
V6から V7への移行
V6からｖ7.2の移行が行われています。アップデートの際に何を覚えておく必要があるかを取り上げます。（10分）
Cisco WAAS
あなたはCisco、Riverbedなどの最適化装置WANを持っていますか。ネットフローｖ９でのエグレス（出て行く）フローに慣れてください。（10分）
Webcast here を宣伝している上の画像をご覧下さい。　うまくいくこと願っています。
 Michael Patterson
Scrutinizer Product Manager

明らかに、多くのＷＡＮ最適化ソリューションを提供する会社はフローボリュームに基づいて機器の価格をつけています。フローボリュームとは何でしょう？フローボリュームとは、決められた時間の全インタフェースか特定のインタフェースの1点に集まるフローの数のことです。例えばWebページをダウンロードすると、いくつかのフローが作られます。何かにPingを打つと、同じようにフローを生み出します。実際、Syslog, SNMPトラップなども全てフローを生み出します。 TCPはICMPやUDPフローより長く残るフローを生み出す傾向があります。これはＷＡＮ最適化にどのような手助けとなるのでしょう。 WＡＮ最適化サイジングのためにScrutinizerを使用している顧客に指摘しました。「どうやってそんなことをするんですか」と私は尋ねました。「フローボリュームレポートは決まった時間にTCPフローがいくつリンクしているかをお知らせしてくれます」と彼は答えました。これは本当のことで、Scrutinizerのフリーレポートの一つは1分ごと（必要なら1秒ごと）のフローボリュームを表示します。秒ごとので割合とインターバルごとのトータルを得ることができます。ＷＡＮ最適化ベンダーの請求はより細かくフローカウントをベースにしていたと顧客は言っていました。Scrutinizerがあれば、ネットフローデータグラムのあらゆるフィールドを取り入れたり出したりするために簡単にフィルターを加えることができます。このScrutinizerレポートがあるので、不必要な準備に時間をかけずに最適なハードウェアを購入することが可能です。 ＷＡＮ最適化ベンダー • BlueCoat • Cisco WAAS • Expand • Riverbed • Silver Peak フローに注意しましょう　購入する前に、その機器がネットフローをサポートしているか？完全なegressフローでネットフローv9をサポートしているか確認して下さい。なぜそうする必要があるのか？　 Best Practices for Cisco WAAS Reporting using NetFlowに関する短いブログを見てください。全てのベンダーに対応しています。

こんにちは！
私たちは、登場すると宣言し、今、実現しました。
最新のPlixer自身のNetFlow監視アプリケーション　を搭載している、新しいマイグレーション機能の効能によって、私たちは、いま、以前よりもスムーズにScrutinizer NetFlow & sFlow Analyzer v6 からv7 変換することができます。
現在、あなたは、この新しいツールのアシスタントによって、あなたのが去に使用したNetFlow データと複雑なフラッシュマップを正しく、新たにインストールすることができるでしょう。
このNetFlowデータのマイグレーション過程には、少し制限があることをご承知おきください。もしあなたがネットワークトラフィックの分析のために今なおScrutinizer version 6をお使いで、それらについてより詳しくお知りになりたい場合には、contact Plixer support　にご連絡をお願いいたします。また、もし、その他の新しい特徴や最新版で修正可能かどうかご興味があるようでしたら、Scrutinizer version 7.2 release notes.をご覧ください。
もしあなたが市場に出ているもっとも画期的な Windows NetFlow コレクターの稼動を心待ちにしているならば、 私たちのサポートチームへご連絡ください。私たちは、あなたがマイグレーション開始するのをお手伝いいたします！
Plixer Support
(207) 324-8805 ext: 4