YAF è ancora un altro misuratore di portata. Il progetto elabora i dati a pacchetto da dumpfiles pcap come generato da tcpdump o tramite acquisizione diretta da un'interfaccia con pcap in flussi bidirezionali, quindi esporta tali flussi di IPFIX processi di raccolta o in un formato di file basato su IPFIX. Uscita di YAF può essere utilizzato con gli strumenti di analisi del flusso di seta e la toolchain NetSA aggregati Flow (NAF).
YAF supporta anche la registrazione di carico parziale - questa funzione è destinato ad essere utilizzato in "banner grabbing" per la verifica del protocollo e rilevamento della presenza del servizio, ed è attualmente sperimentale.
Perché il mondo ha bisogno di un altro generatore di eventi flusso di rete? YAF è inteso come un esperimento sviluppi di monitoraggio dell'attuazione del gruppo di lavoro IETF IPFIX, rappresentazione flusso bidirezionale e specificamente formati di memorizzazione di archivio. È stato progettato per eseguire accettabile come un sensore di flusso su qualsiasi rete in cui la raccolta del flusso white-box con l'hardware commodity è appropriato, ma compromessi tra prestazioni pure e la chiarezza del design sono stati generalmente fatto in favore di quest'ultimo.
La toolchain YAF attualmente si compone di due strumenti, YAF sé, e yafscii, che converte l'uscita YAF in formato ASCII.
Costruzione
YAF richiede glib 2.4.7 o versioni successive. Si noti che glib è incluso anche in molti ambienti operativi o collezioni porte.
YAF richiede libairframe.
YAF richiede libfixbuf versione 0.7.0 o successiva.
YAF richiede libpcap.
Endace DAG Live Support ingresso richiede libdag. Utilizzare l'opzione --with-dag a ./configure per abilitare il supporto DAG.
La funzione di etichettatura applicazione YAF richiede la libreria di espressione regolare Perl, PCRE. Questa libreria è disponibile presso http://www.pcre.org.
Le applicazioni YAF richiedono anche la biblioteca libyaf incluso. libyaf implementa il file YAF e rete I O, decodifica dei pacchetti, assemblaggio / frammento, e il flusso generazione. Questa libreria è costruito e installato con gli strumenti di distribuzione YAF.
YAF utilizza un sistema di compilazione basato autotools-ragionevolmente standard. La procedura di compilazione consueto (./configure && make && make install) devono lavorare in maggior parte degli ambienti. Si noti che YAF trova libfixbuf e libairframe utilizzando la funzione di pkg-config, quindi potrebbe essere necessario impostare la variabile PKG_CONFIG_PATH sulla riga di comando configure se queste librerie sono installate in una posizione non standard, diverso il prefisso per il quale si sta installando YAF sé.
Problemi Conosciuti
YAF 0.7.0 non interagisce con le versioni precedenti, perché non utilizza più elementi informativi provvisori per la direzione inversa di un biflow. YAF 0.7.0 deve essere utilizzato con un processo di Raccolta IPFIX che utilizza PEN 29305 per gli elementi di informazione inversa. Per l'esportazione di seta, questo implica che l'utilità di seta confezionatore o rwipfix2silk deve essere costruita contro
libfixbuf 0.7.0 o versioni successive.
Attualmente, l'elemento di informazioni destinationTransportPort contiene ICMP tipo e codice ICMP per informazioni o icmp6 flussi; questo non è standard e non può essere interoperabili con altre implementazioni IPFIX.
I commenti non trovato