NetFlowは、Cisco Systemsが1996年に発表したIPトラフィック計測技術で、ルータ・スイッチを通過するパケットを「フロー」と呼ばれる単位に集計し、宛先・送信元・プロトコル・バイト数などを記録します。発明者として知られるダリル・ブライアント氏とバリー・ブラッグ氏のCiscoチームによる開発がベースで、v5(1996年頃)が長らく業界デファクトでした。2003年にIETFがNetFlow v9を参考にIPFIX(IP Flow Information Export, RFC 5101以降)として標準化し、ベンダー中立な後継となりました。今日のトラフィック可視化・セキュリティ分析・課金の基礎データを供給する重要技術です。
この記事の目次
- 5-tupleで定義するフローの集計
- v5からIPFIXへの標準化
- 可視化・セキュリティ・課金での主な用途
- sFlow・パケットキャプチャとの比較
- まとめ
5-tupleで定義するフローの集計
NetFlowでは、同じ「送信元IP・宛先IP・送信元ポート・宛先ポート・プロトコル番号」(いわゆる5-tuple)を持つパケット群を1つのフローとして扱います。ルータ・スイッチ内部のフローキャッシュにはフローごとにエントリが作られ、パケット数・バイト数・開始時刻・最終時刻・TCPフラグ・ToS値などが累積されていきます。フローがタイムアウトするか、エクスポート間隔に達すると、コレクタへのレコードとしてUDPで送信されます。
サンプリング有効時は、たとえば1000パケットに1個だけサンプリングして集計する設定が可能で、10G・100Gのバックボーンでも処理負荷を抑えながらフロー観測ができます。フィールドの組み合わせはv5までは固定でしたが、v9以降はテンプレートベースで柔軟になり、IPv6、MACアドレス、AS番号、VLAN ID、MPLSラベルなどあらゆる情報を追加できます。コレクタ側は、これを時系列で蓄積・集計し、Top Talkers、宛先別トラフィック、アプリケーション別利用量、異常検知といった分析に使います。
v5からIPFIXへの標準化
NetFlowは1996年、CiscoのIOSルータ向けに開発・実装された「フロー集計とエクスポート」の機能として始まりました。1990年代後半から2000年代前半にかけて、v1〜v8のバージョンが順次リリースされ、特にv5は固定フォーマットの簡潔さから事実上のデファクトとなり、多くのコレクタソフトウェアが対応しました。Cisco以外のベンダーも独自にsFlow(InMon発, RFC 3176)やJ-Flow(Juniper, 実質的にNetFlow互換)といったフロー観測技術を提供しています。
2004年に発表されたNetFlow v9(RFC 3954, 情報提供文書として発行)はテンプレートベースの可変フォーマットを導入し、新フィールド追加が容易になりました。IETFのIPFIXワーキンググループはこのv9を出発点に標準化を進め、2008年1月のRFC 5101でIPFIXのプロトコル仕様を、RFC 5102で情報モデルを公開しました(後にRFC 7011/7012で再発行)。IPFIXはベンダー中立で、サブスクリプションを使った双方向フロー観測なども定義されており、現在の高機能フロー観測の事実上の業界標準となっています。実装上はNetFlow v9とIPFIXの両方をエクスポートできる機器が多く、運用上は混在前提です。
可視化・セキュリティ・課金での主な用途
NetFlow/IPFIXの最も身近な用途は、「どのIPがどれだけ帯域を消費しているか」を把握するTop Talkers分析です。ntopng・nfsen・SolarWinds NTA・Plixer Scrutinizer・Kentikなどのコレクタは、エクスポートされたフローを集計してダッシュボードで可視化します。アプリケーション分析(HTTPS、SMTP、SIP、Steam、Netflixなど)はポート番号やNBAR2/AVCといったDPI拡張と組み合わせて行われ、ISPや大企業の帯域利用実態の把握に欠かせません。
セキュリティ用途では、DDoS攻撃(突発的な宛先集中や大量SYN)や、内部から外部への異常通信(C2サーバへの定期ビーコンなど)を検出する手段として広く使われます。FastNetMonやArbor Sightline(現NETSCOUT)など専門コレクタは、秒単位でフロー集計を行い数秒以内に攻撃トラフィックを検知することが可能です。ISPでは課金(特に従量制ピア接続の95パーセンタイル課金)の根拠データとしても利用され、CDN・ピア接続の最適化、キャパシティ計画、フォレンジック調査の証跡など、「トラフィックの見える化」を必要とするほぼ全領域でNetFlow/IPFIXが基盤として動いています。
sFlow・パケットキャプチャとの比較
sFlow(RFC 3176, 2001年)は、フローを集計するNetFlowと異なり、パケットそのものを一定確率でサンプリングしてコレクタへ送出する設計です。ルータ・スイッチでの集計負荷が小さく、Aristaなどデータセンタスイッチで広く採用されています。NetFlow/IPFIXがフロー終端時にエクスポートするのに対し、sFlowはリアルタイム性に優れる反面、フロー単位の正確な統計を得るには大量サンプリングが必要です。
より詳細な可視化が必要な場面では、ERSPAN/RSPANによるポートミラーリングや、PCAP形式での全パケットキャプチャを併用します。ただしフルキャプチャはストレージ・処理コストが莫大になるため、通常はNetFlow/IPFIXで広く浅く監視し、要所だけPCAPで深掘りする使い分けが標準的です。NDR(Network Detection and Response)製品やSASEプラットフォームの内部でも、フロー観測(NetFlow/IPFIX/sFlow)とパケット解析の組み合わせがセキュリティ分析の基本構成として採用されています。
まとめ
NetFlowは1996年にCiscoが発表したフロー観測技術で、v5の普及を経てv9を出発点に2008年のRFC 5101でIPFIXとして標準化されました。5-tupleベースのフロー集計とエクスポートにより、Top Talkers把握・DDoS検知・課金・セキュリティ調査の基礎データを供給します。sFlowやPCAPと併用しながら、NDRやSASEの分析基盤として現代のネットワーク可視化に欠かせない地位を保ち続けています。
※本記事はIT用語辞典の手書きドラフトです。公開前に最新情報・出典を確認のうえ加筆修正してください。
コメント