Einen lockeren Vortrag bestritt Jens Link mit dem Thema NetFlow. Anschaulich schilderte er die Anwedung der beiden gängigen Tools in der *NIX Welt: nfdump und nfsen. Jens Link ist seit über 12 Jahren in der IT tätig. Mittlerweile arbeitet er als selbständiger Consultant im Netzwerkumfeld. So schilderte er praxisnah den Nutzen von NetFlow und gab viele Live Beispiele.
NetFlow ist eine Technologie die von Cisco entwickelt wurde. Mittlerweile existiert sie in einigen Derivaten auch von anderen Herstellern und kann mit entsprechenden Tools durch PCAP auch auf Netzwerkkarten geschaltet werden. Hauptsächlich von Layer-3 Geräten wie Routern oder Switches angewendet, exportiert es Informationen über den Datenstrom per UDP an einen Collector. Die dort gespeicherten Daten können dann als Datenbasis für eine Analyse herangezogen werden. Die gesendeten Informationen beinhalten unteranderem Zeitstempel, Prokoll, Ports, Bytes, sowie Quell- und Ziel der Verbindung. Dadurch reiht sich NetFlow in die Reihe der klassischen Analysewerkzeuge wie WireShark oder tcpdump ein.
Leider gibt es keine Unterscheidung von Traffic, so entstehen sehr schnell große Datenvolumina. Es werden Strategien nötig um diese Mengen in den Griff zu bekommen. Nfsen, ein Quelloffenes Webfrontend, gibt hierbei Profile vor um die Daten in der Größe oder in der Zeit zu begrenzen.
Alles in allem ein wunderbares Tool zur übergreifenden Netzwerkanalyse bei vielen Informationen und auf breitbandigen Leitungen.
0 Comments