YAF ist noch eine andere Durchflussmesser. Das Projekt verarbeitet Paketdaten von pcap Dump-Dateien, wie tcpdump oder über Live-Aufnahme von einer Schnittstelle mit pcap in bidirektionalen Flows generiert, exportiert diese dann fließt zu IPFIX Sammeln Prozesse oder in einem IPFIX-basierten Dateiformat. YAF Die Ausgabe kann mit der Seiden Flow-Analyse-Tools und der NetSA aggregierte Flow (NAF) Toolchain verwendet werden.
YAF unterstützt auch Teil Nutzlast Capture - diese Funktion ist für den Einsatz in "Banner Grabbing" zur Protokollprüfung und Service Anwesenheitserkennung bestimmt und ist derzeit experimentell.
Warum braucht die Welt eine andere Netzwerkfluss Ereignisgenerator? YAF wird als experimentelle Umsetzung Tracking Entwicklungen in der IETF-Arbeitsgruppe IPFIX, insbesondere bidirektionale Flussdarstellung und Archivierung Formate gedacht. Es wurde entwickelt, um in akzeptabler als ein Durchflusssensor auf jedem Netzwerk, auf dem White-Box-Durchflusserfassung mit Standard-Hardware geeignet ist durchzuführen, aber Kompromisse zwischen pure Leistung und Klarheit der Gestaltung haben in der Regel zu Gunsten der letzteren vorgenommen.
Die YAF Toolchain besteht derzeit aus zwei Tools, yaf selbst und yafscii, die yaf Ausgabe in ASCII-Format konvertiert.
Gebäude
YAF benötigt glib 2.4.7 oder höher. Man beachte, dass glatt ist auch in vielen Betriebsumgebungen oder Ports Sammlungen enthalten.
YAF erfordert libairframe.
YAF erfordert libfixbuf Version 0.7.0 oder höher.
YAF erfordert libpcap.
Endace DAG leben Eingabeunterstützung erfordert libdag. Verwenden Sie die Option --with-dag an ./configure zu DAG-Unterstützung zu aktivieren.
Die YAF Anwendung Kennzeichnung-Funktionalität erfordert das Perl-Bibliothek für reguläre Ausdrücke, PCRE. Diese Bibliothek ist in http://www.pcre.org erhältlich.
Die YAF Anwendungen erfordern auch das mitgelieferte libyaf Bibliothek. libyaf implementiert YAF Datei und Netzwerk-I / O, Paketdekodierung, Fragment, Montage und Strömungserzeugung. Diese Bibliothek wird aufgebaut und mit der YAF Tools Distribution installiert.
YAF verwendet eine ziemlich standard autotools-basierende System. Die üblichen Bildungsprozedur (./configure && make && make install) sollte in den meisten Umgebungen zu arbeiten. Beachten Sie, dass YAF findet libfixbuf und libairframe mit der pkg-config-Anlage, so müssen Sie die PKG_CONFIG_PATH Variable auf der configure-Befehlszeile gesetzt, wenn diese Bibliotheken sind in einem nicht standardmäßigen Speicherort installiert haben, mit Ausnahme des Präfix, die Sie bei der Installation YAF sich.
Bekannte Probleme
YAF 0.7.0 nicht mit früheren Versionen kompatibel sind, weil sie nicht mehr verwendet provisorische Informationselemente für die Rückwärtsrichtung eines BiFlow. YAF 0.7.0 müssen mit einer IPFIX Sammeln Prozess, der PEN 29305 für Umkehrinformationselemente verwendet werden. Für den Export in Seide, bedeutet dies, dass die Seide Packer oder rwipfix2silk Dienstprogramm muss gegen gebaut werden
libfixbuf 0.7.0 oder höher.
Derzeit enthält das destinationTransportPort Informationselement ICMP Typ und Code-Informationen für ICMP oder ICMP6 fließt; dies ist nicht standardmäßigen und nicht interoperabel mit anderen IPFIX Implementierungen können.
Kommentare nicht gefunden