YAF är ännu en flödesmätare. Projektet behandlar paketdata från PCAP dumpfiles som genereras av tcpdump eller via live fånga från ett gränssnitt med pcap i flöde åt båda hållen, exporterar sedan dessa flöden till IPFIX Samla processer eller i en IPFIX-baserat filformat. YAF produktion kan användas med silke flödes analysverktyg och NetSA Aggregerat Flow (NAF) verktygskedjan.
YAF stöder också delvis last fånga - den här funktionen är avsedd att användas i "banner ta tag" för protokoll kontroll och service närvarodetektering, och är för närvarande experimentell.
Varför världen behöver en annan nätverksflödeshändelsegenerator? YAF är avsedd som en experimentell spårning genomförandet utvecklingen inom IETF IPFIX arbetsgruppen, speciellt dubbelriktat flöde representation och arkivlagringsformat. Den är utformad för att utföra acceptabelt som en flödesgivare på alla nätverk som white-box insamling flöde med råvaru hårdvara är lämpligt, men kompromisser mellan råprestanda och tydlighet i designen har i allmänhet gjorts till förmån för den senare.
Den YAF toolchain består för närvarande av två verktyg, YAF själv, och yafscii, som omvandlar YAF produktionen i ASCII-format.
Byggnad
YAF kräver glib 2.4.7 eller senare. Observera att glib ingår också i många driftsmiljöer eller hamnar samlingar.
YAF kräver libairframe.
YAF kräver libfixbuf version 0.7.0 eller senare.
YAF kräver libpcap.
Endace DAG levande ingångs stöd kräver libdag. Använd --with-dag alternativ till ./configure för att aktivera DAG stöd.
Ansökan märkning funktionalitet YAF kräver Perl reguljära uttryck bibliotek, PCRE. Detta bibliotek finns på http://www.pcre.org.
De YAF program kräver också ingår libyaf biblioteket. libyaf genomför YAF fil och nätverk I / O, paket avkodning, fragment montering och flödes generation. Detta bibliotek byggs och installeras med YAF verktyg distributionen.
YAF använder en någorlunda standardautotools baserade byggsystem. Den sedvanliga bygga förfarande (./configure && make && make install) bör fungera i de flesta miljöer. Observera att YAF finner libfixbuf och libairframe använder pkg-config anläggning, så du kanske måste ställa in PKG_CONFIG_PATH variabel configure kommandoraden om dessa bibliotek är installerade i ett icke-standard plats, andra än prefixet som du installerar YAF själv.
Kända problem
YAF 0.7.0 inte samverka med tidigare versioner, eftersom det inte längre använder provisoriska informationselement för den omvända riktningen av en biflow. YAF 0.7.0 måste användas med en IPFIX uppsamlingsförfarandet som använder PEN 29305 för omvända informationselement. För export till siden, innebär detta att silke förpackare eller rwipfix2silk verktyget måste byggas mot
libfixbuf 0.7.0 eller senare.
För närvarande, den destinationTransportPort informationselement innehåller ICMP typ och kod information för ICMP eller ICMP6 flöden; detta är icke-standard och kan inte vara kompatibel med andra IPFIX implementationer.
Kommentarer hittades inte