YAF er endnu en flowmåler. Projektet behandler pakkedata fra pcap dumpfiles som genereres af tcpdump eller via live-opsamling fra et interface ved hjælp pcap i begge retninger, så eksporterer disse strømme til IPFIX Indsamling processer eller i en IPFIX-baserede filformat. YAF produktion kan bruges med silke flow analyseværktøjer og NetSA Aggregeret Flow (NAF) toolchain.
YAF understøtter også delvis nyttelast capture - denne funktion er beregnet til brug i "banner opsigtsvækkende" for protokol verificering og detektion tjeneste tilstedeværelse, og er i øjeblikket eksperimenterende.
Hvorfor verden har brug for et andet netværk flow event generator? YAF er tænkt som en eksperimentel sporing implementering udviklingen i IETF IPFIX arbejdsgruppe, specielt tovejs flow repræsentation og arkivering storage formater. Det er designet til at udføre acceptabelt som en flowmåler på alle netværk, som white-box flow kollektion med råvare hardware er relevant, men kompromiser mellem rå ydeevne og klarhed i design er generelt blevet gjort til fordel for sidstnævnte.
Den YAF toolchain består i øjeblikket af to værktøjer, yaf selv, og yafscii, som omdanner yaf output i ASCII-format.
Bygning
YAF kræver glib 2.4.7 eller nyere. Bemærk at glib er også inkluderet i mange miljøer eller porte samlinger.
YAF kræver libairframe.
YAF kræver libfixbuf versionen 0.7.0 eller nyere.
YAF kræver libpcap.
Endace DAG lever input support kræver libdag. Brug --with-dag mulighed for at ./configure at aktivere DAG support.
Den YAF ansøgning funktionsangivelse kræver Perl regulære udtryk bibliotek, PCRE. Dette bibliotek er tilgængelig på http://www.pcre.org.
De YAF applikationer kræver også inkluderet libyaf biblioteket. libyaf implementerer YAF fil og netværk I / O, pakke dekodning, fragment samling, og flow generation. Dette bibliotek er bygget og installeret med YAF værktøj distribution.
YAF anvender en rimeligt standard autotools-baserede byggesystemet. Den sædvanlige build procedure (./configure && gøre && make install) bør arbejde i de fleste miljøer. Bemærk at YAF finder libfixbuf og libairframe hjælp af pkg-config facilitet, så du kan blive nødt til at indstille PKG_CONFIG_PATH variabel på configure kommandolinjen hvis disse biblioteker er installeret i en ikke-standard placering, bortset præfikset, som du installerer YAF selv.
Kendte problemer
YAF 0.7.0 ikke fungere sammen med tidligere versioner, fordi det ikke længere anvender foreløbige oplysninger elementer til den modsatte retning af et biflow. YAF 0.7.0 skal bruges med en IPFIX Indsamling Proces, der bruger PEN 29.305 for reverse informationselementer. Til eksport til silke, dette indebærer, at silke packer eller rwipfix2silk hjælpeprogram skal bygges mod
libfixbuf 0.7.0 eller nyere.
I øjeblikket er destinationTransportPort information element indeholder ICMP information type og kode for ICMP eller ICMP6 strømme; dette er nonstandard og er måske ikke kompatible med andre IPFIX implementeringer.
Kommentarer ikke fundet