Flow nedir?
Netflow analizi konusunda kaynak oldukça fazla ama sflow konusunda çok fazla kaynak malesef yok. Bilmeyenler için kısaca özetliyeyim; “flow” sözcüğü yapılan bir trafiğin tamamını kaydetmeden özel bir algoritma ile ne tarz bir trafik olduğunu veren teknoloji için kullanılır. Flow verisini alıp işleyerek, trafiğiniz hakkında bilgi sahibi olursunuz. Aşağıdaki tarzda işlemler flow sonucunda sağlanabilmektedir:
- En çok trafik yapan host’lar raporu
- En çok trafik taşıyan protokoller raporu
- En fazla paket gönderimi/alımı yapan IP adresleri
- Belirli eşik değerlerini geçen tipte trafik olursa, e-posta ile haber verilmesi
- vb.
Bir flow sistemi temel olarak iki kısımdan oluşmaktadır. Trafiğin üzerinden geçtiği cihaz, bu trafik bilgisini trafik tanımlama bilgisi olarak diğer bir bilgisayara (collector) gönderir. İkinci bilgisayar da bu veriyi işler ve cicili-bicili grafikler verir. Analiz tafındaki bilgisayar da bazen iki bileşenden oluşabilir. Bir yazılım daemon modunda çalışır, bir UDP portu dinler ve gelen veriyi diske kaydeder. Diğer yazılım da bu veriyi analiz eder. Bazen de tek bir yazılım ikisini de yapabilir.
sflow / netflow?
En yaygın bilinen flow türü, netflow’dur. Bunda şüphesiz en büyük pay Cisco’ya aittir. Büyük çaplı işletmelerde ve kritik konularda düne kadar Cisco kullanmak vacip olduğundan (özellikle farz demedim), ve flow da genelde bu tarz kurumların işine yaradığından olsa gerek, Cisco tarafından sağlanan netflow türü yaygınlaşmıştır.
HP gibi bazı üreticiler ise, netflow yerine sflow tercih etmektedir. Peki ikisi arasındaki fark nedir? Şöyle özetlenebilir:
