Menü
Ein Beitrag von Adacor

Einsatzszenarien von Flow Sampling

Flow Sampling ist essentiell beispielsweise zur Anaylse von Störungen oder Abrechnen von volumenbasierten Datenverkehr.

In diesem Beitrag definieren wir Flow Sampling und welche Vorteile, aber auch Nachteile mit unterschiedlichen Ansätzen und Methoden verknüpft sind.

Definition Flow

Einsatzszenarien von Flow SamplingEin Flow definiert einen gleichbleibenden IP-Datensatz aus Quell- und Zieladresse mit dazugehörigen Portnummern. Jedes von einem Netzwerkgerät weitergeleite Paket beschreibt einen Flow, wobei gleichbleibende Datensätze zu einem „Flow-Stream“ in der FlowTable zusammengefasst werden.
Diese Flows können unabhängig vom eigentlichen Datenverkehr zur weiteren Analyse exportiert werden.

Über den Parameter „Sampling“ kann definiert werden, wie viele Pakete gesampelt also exportiert werden. In der Regel wird dieser Parameter über eine Definition wie „exportiere jedes 1024te Paket“ gesetzt.
Dieser Samplewert ist für die weitere statistische Auswertung von entscheidender Bedeutung!

Unterscheidung Full-Packet Sampling von Packet Header Sampling

Für das oben genannte Flow Sampling gibt es von verschiedenen Herstellern unterschiedliche Ansätze. Man unterscheidet hier zwischen „Full-Packet Sampling“ und „Packet Header Sampling“. Im Unterschied zum Packet Header, der wie der Name schon verrät, nur den Packet Header aber keine Nutzdaten (Payload) enthält, wird beim Full-Packet Sampling das gesamte Paket einmal kopiert und exportiert.

Hier erkennt man bereits wie wichtig es ist, den Wert für Packet-Sampling >1 zu setzen, denn sonst würde der gesamte Datenverkehr einmal dupliziert und damit die vorhandenen Bandbreiten entsprechend belasten werden. Historisch gesehen ist das Full-Packet Sampling der ältere der beiden Ansätze.
Frühere Systeme benötigten einen wesentlichen größeren Teil des Packet Headers zur Entscheidungsfindung zum weiterleiten der Pakete. Der effizientere und ressourcen-schonende Weg ist es, nur die Packet Header zu exportieren.
Da Cisco als weltweit größter Hersteller von Netzwerkkomponenten lange am Full-Packet Sampling festhielt, gibt es für das von Cisco verwendete Netflow Protokoll wesentlich mehr Tools zur Erfassung und Analyse als das mittlerweile per RFC definierte Sflow welches nur Packet Header exportiert.

Vor und Nachteile des Full-Packet-Sampling

Wie bereits beschrieben, enthält ein Full-Packet Sample wesentlich mehr Daten als Header-Samples. Dies kann sowohl vor- als auch nachteilig sein.

Als nachteilig werden insbesondere folgende Stichpunkte genannt:

  • Ressourcen-Last des exportierenden Geräts
  • Paketgrößen
  • Analyse

Selbstverständlich ist am Full-Packet Sampling nicht alles nur schlecht, ein wesentlicher positiver Aspekt ist vor allem die Detailgenauigkeit. Denn dass das gesamte Datenpaket inkl. Nutzdaten wird exportiert. Dieser Punkt beinhaltet jedoch wichtige Datenschutzrechtliche Gesichtspunkte.

Sflow als neuer Standard

Neben fehlenden Spezifikationen und Dokumentationen zu Netflow waren die beim Full-Packet Sample genannten Nachteile dafür Anlass, nach einer freien und von anderen Herstellern implementierbaren Lösung zu suchen. Hieraus entstand Sflow. Sflow kehrt die bei Netflow genannten Nachteile in Vorteile um.

Flow Sampling zur Anaylse

Wieso sollte man den ganzen Aufwand betreiben und die im Netzwerk kursierenden Pakete analysieren? Wichtig ist doch, dass die Daten ankommen? Richtig, aber wehe wenn nicht. Dann bedarf es einer Fehleranalyse weshalb das der Fall ist. Dabei kann Flow Sampling ebenso helfen wie beim Aufdecken von Störungen durch Denial-of-Service Angriffe oder beim Abrechnen von volumenbasiertem Datenverkehr.

Einsatzgebiete Flow Sampling bei der ADACOR Hosting

Zur Zeit setzen wir das Flow Sampling ausschließlich zur Traffic Abrechnung ein. Hierfür verwenden wir eine Kombination aus Tools für Netflow und Sflow. Die Sflow-Tools nehmen die Daten unserer Netzwerkgeräte entgegen und wandeln diese wiederum in Netflow Daten um. Dies ist notwendig da die Auswahl an vorhandener Software für Netflow wesentlich grösser ist und zudem unsere Anforderungen besser erfüllt.

Vereinfacht dargestellt ist der Ablauf wie folgt:

Netzwerkgeräte -> Sflow Collector Host -> Umwandlung in Netflow -> Netflow collector auf demselben Host -> Ablage der Daten -> Analyse/Summierung dieser Daten -> Abrechnung

Weitere Verwendungszwecke liegen auf der Hand. So planen wir zukünftig  die gesammelten Daten bereits in Echtzeit zu analysieren, um daraus Reports und Alarmierungen zu generieren. Dies dient dem Zweck, unser Netzwerk noch besser gegen bestimmte Angriffs-Szenarien zu schützen.
Die dafür zur Anwendung kommenden Techniken werden wir in separaten Artikeln beschreiben.

, ,


Weitere Artikel zum Thema lesen

Backup-Software auf dem Prüfstand: von Bacula zu Bareos

IT-News

Backup-Software auf dem Prüfstand: von Bacula zu Bareos

Die Gründe für die Migration von Bacula auf Bareos, beschreiben wir im Blog.

weiter lesen

Intelligentes IT-Sicherheitsmanagement – Maßnahmen für einen sicheren Arbeitsplatz

Cloud, IT Security

Intelligentes IT-Sicherheitsmanagement – Maßnahmen für einen sicheren Arbeitsplatz

Als Hosting-Spezialist im Geschäftskundenbereich deckt die ADACOR Hosting ein Marktsegment ab, in dem die IT-Sicherheit einen extrem hohen Stellenwert hat. Was bedeutet das für...

weiter lesen

Paketanalyse mit Sflow oder Netflow

Hosting, IT-News

Paketanalyse mit Sflow oder Netflow

Sflow und Netflow stellen beide Mechanismen zur Verfügung, die eine Paketanalyse erlauben.

weiter lesen


Neueste Nachrichten von Adacor

DevOps in Unternehmen

Hosting

Wann DevOps für Unternehmen sinnvoll ist

Das Zusammenfinden der beiden Bereiche „Entwicklung und Betrieb“ ist vor der ersten Zeile Code obligatorisch, denn DevOps ist kein Framework, sondern eine Kultur.

weiter lesen

Der Schlüssel zum effektiven Domain Management

Domains

Domain Management: Verwalten Sie Ihre Domains (noch) selbst?

Die Anzahl der Domains nimmt verstärkt zu. Deren Management wird zunehmend zur Herausforderung. Wir bieten Ihnen den Schlüssel zum effektiven Domain Management.

weiter lesen

So funktioniert Cloud Hosting

Cloud

So funktioniert Cloud Hosting

Das Modell Cloud Hosting verspricht jederzeit skalierbare, virtualisierte Server, die immer die Leistung zur Verfügung stellen, die gerade benötigt wird.

weiter lesen

Diese Website verwendet Cookies. Mit der weiteren Nutzung der Website stimmen Sie unserer Datenschutzerklärung zu.
Für weitere Informationen klicken Sie bitte hier.