YAF

YAF 또 다른 유량계입니다. tcpdump에 의해 또는 양방향 흐름에 PCAP를 사용하여 인터페이스에서 라이브 캡처를 통해 생성 된 프로젝트는 PCAP의 덤프 파일에서 패킷 데이터를 처리하고 IPFIX 수집 프로세스 또는 IPFIX 기반 파일 형식으로 그 흐름을 보냅니다. YAF의 출력은 실크 흐름 분석 도구 및 NetSA 집계 흐름 (NAF) 툴체인 함께 사용될 수있다.
이 기능은 프로토콜 검증 및 서비스 존재 감지 "배너 잡아"에 사용하기위한 것입니다, 그리고 현재 실험이다 - YAF는 부분 페이로드 캡처를 지원합니다.
왜 세계는 다른 네트워크 흐름 이벤트 생성기를 필요합니까? YAF는 IETF IPFIX 워킹 그룹의 실험적 구현 추적 개발, 특히 양방향 흐름 표현 및 보관 저장 형식위한 것입니다. 이것은 범용 하드웨어와 화이트 박스 흐름 컬렉션이 적절한하는 모든 네트워크에 유량 센서로서 용인 수행하도록 설계되어 있지만, 기본 성능과 디자인의 선명함 절충 일반적 후자 대신되었습니다.
YAF 툴체인은 현재 ASCII 형식으로 YAF 출력을 변환 두 가지 도구, YAF 자체와 yafscii로 구성되어 있습니다.
건물
YAF는 입심 2.4.7 이상이 필요합니다. 그 입심 참고도 운영 환경 또는 포트 컬렉션 많은에 포함되어 있습니다.
YAF는 libairframe이 필요합니다.
YAF 버전 0.7.0 이상 libfixbuf이 필요합니다.
YAF는 libpcap을해야합니다.
Endace DAG 입력 지원 libdag을 필요로 살고있다. DAG 지원을 활성화하기 위해 ./configure 아마 위해 --with-DAG 옵션을 사용합니다.
YAF 애플리케이션 표시 기능은 PCRE, 펄 정규 표현식 라이브러리가 필요합니다. 이 라이브러리는 http://www.pcre.org에서 확인할 수있다.
YAF 응용 프로그램도 포함 libyaf 라이브러리를 필요로한다. libyaf는 I / O, 패킷 디코딩, 조각 조립 YAF 파일과 네트워크를 구현하고, 생성 흐름. 이 라이브러리는 YAF 도구 배포 구축 및 설치됩니다.
YAF는 합리적으로 표준 autotools를 기반 빌드 시스템을 사용합니다. 관습 빌드 절차 (&& ./configure를 만들 && 설치 확인)는 대부분의 환경에서 작동합니다. YAF는이 라이브러리는 접두사가 아닌 당신이 YAF 자체를 설치 할 수있는 비표준 위치에 설치하는 경우 configure 명령 행에 PKG_CONFIG_PATH 변수를 설정해야 할 수 있도록, PKG-설정 기능을 사용하여 libfixbuf 및 libairframe을 발견합니다.
알려진 문제
더 이상 biflow의 반대 방향으로 잠정 정보 요소를 사용하기 때문에 YAF의 0.7.0는 이전 버전과 호환하지 않습니다. YAF 0.7.0 역방향 정보 엘리먼트에 대해 29,305 PEN을 사용 IPFIX 수거 과정 사용되어야한다. SiLK와 수출의 경우, 이것은 비단 포장 또는 rwipfix2silk 유틸리티에 구축되어야 함을 의미한다
0.7.0 이상 libfixbuf.
현재, destinationTransportPort 정보 요소는 ICMP 또는 ICMP6 흐름에 대한 유형과 ICMP 코드 정보를 포함하고; 이 비표준이며, 다른 IPFIX 구현과 상호 운용이 가능하지 않을 수 있습니다.