Mis on avatud lähtekoodiga Netflow?

Avatud lähtekoodiga võrguvoo programm suudab tõlgendada kogu sissetulevat võrguvoogu või teavet sissetulevate kasutajate kohta, näiteks Interneti-protokolli (IP) aadressi ja pordinumbreid. Administraatorid vajavad seda selleks, et teada saada, kes saavad süsteemile juurdepääsu ja kuhu teave sisevõrgus liigub. See aitab administraatoritel kehtestada tulemüürireegleid ja jälgida häkkereid, kui nad üritavad võrku rikkuda. Avatud lähtekoodiga netflow programm ei ole pealetükkiv; kõik see kogub paketi päise teavet ja teatab sellest administraatorile. Tehakse nii vähe, et võrguvoolukollektori töötamiseks on vaja vähe keskseadme (CPU) võimsust.

Külastajad, olgu nad siis ettevõttesisesed töötajad või väliskülalised, külastavad veebisaiti või võrku pidevalt. Ilma avatud lähtekoodiga võrguvoo programmita saavad need külastajad süsteemis ringi liikuda nii, et kogutakse vaid minimaalselt andmeid – sellest ei piisa, et aidata administraatoritel rünnakute eest kaitsta. Kui võrguvoog on lubatud, saab administraator öelda, kuhu külastajad lähevad, nii et ta teab, milliseid alasid tuleb valvata; ta võib avastada ka süsteemi nõrkusi. Administraatorid saavad simuleerida võrgukäitumist ilma võrguvooluta, kuid see võtab tohutult ressursse, ei näita, kuidas tegelikud külastajad süsteemi kasutavad, ja häirib privaatsust, kui administraator töötab kliendi, mitte ettevõtte heaks.

Üks peamisi viise, kuidas see süsteeme valvab, on see, et võrguvoog aitab administraatoritel tabada häkkereid, kes üritavad teenuse keelamise (DoS) rünnakut. DoS-rünnak juhtub siis, kui keegi viskab süsteemi võltskülastajate laineid, kuni see jookseb kokku, kuna võrk ei suuda toime tulla tohutu hulga päringutega. Administraatorid saavad kindlaks teha, kas häkkerid torkavad süsteemis ringi, ja võivad DoS-i katsed katkestada.

Avatud lähtekoodiga netflow tarkvara töötab külastajalt teabepaketi kogumise teel. See pakett sisaldab põhiteavet, nagu IP-aadress, pordi number ja ruuteri teave. Seejärel vaatab kogumissüsteem andmeid ja salvestab need hilisemaks kontrollimiseks. Selline lähenemine ei ole pealetükkiv, sest netflow vaatab lihtsalt kiiresti paketti, kopeerib infot ega sega külastajat.

Avatud lähtekoodiga netflow programmi toimimiseks on vaja väga vähe protsessori võimsust. Seda seetõttu, et võrreldes teiste programmidega ei tee netflow peaaegu midagi; see vaatab põhiteavet ja salvestab selle. Netflow programmi toimimiseks pole vaja täpsemaid arvutusi ega mälumahukaid toiminguid. See võimaldab administraatoritel kasutada võrguvoo tarkvara pidevalt, ilma et see võtaks teistelt programmidelt töötlemisvõimsust.