Цитата |
---|
Алекс М пишет: на уровне приложений это типа браузера. Т.е. браузер с помощью ДНС даёт мне доменное имя. Т.к. ИП-пакет (который обрабатывает нетфлоу) не содержит имя отправителя\получателя, а только их адреса, то я не могу видеть в нетфлоу доменные имена... |
Не совсем так.
Приложение (браузер) оперирует с FQDN (именами), потом в дело вступает DNS, задача коего - установить IP-адрес на основе имени, чтобы на сетевом уровне (L3) оперировать с сущностями, с которыми работает этот уровень - то есть с IP-адресами. Сюда же передаются номера портов, определяемые в зависимости от приложения, которое работает (браузер - 80 порт при URL вида http, он же - 20/21 порт при URL вида ftp:). Так как НетФлоу "сливает" информацию L3-уровня, у него просто нет данных более высоких уровней. На уровне L3 они представлены в виде payload - то есть данных, включенных в пакет (инкапсуляция во всей красе). Грубо - количество байт, переданных (или принятых). Так же внутри этого пакета находятся полноценные URL, которые Вы формируете при работе с сайтом в браузере. Собственно, вот. Опять же - полный состав NetFlow приведен в ссылке выше. Ну и в соответствующих RFC, разумеется. Штука довольно мощная. Например, анализируя сливаемый поток можно выявлять зараженные компьютеры в сети. Хотя в большинстве случаев НетФлоу используется системами биллинга для обсчета (тарификации) трафика пользователей интернет-провайдерами.
Цитата |
---|
Алекс М пишет: убеждают, когда спорят. Я же учусь у вас. это так, оффтоп. |
Да нет.
Не о Вас разговор. Это я о драгоценных пользователях нашей сети, которые периодически хотят детализации, будучи уверенными, что злой и поганый провайдер тырит их трафик.
При этом они уверены, что в заказанной детализации будут и "имена" сайтов, куда они ходили и даже имена файлов, которые они скачивали.