YAF es otro medidor de flujo. El proyecto procesa paquetes de datos de ficheros de volcado pcap como generada por tcpdump o por medio de la captura en vivo de una interfaz usando pcap en flujos bidireccionales, a continuación, exporta esos flujos de IPFIX Procesos Coleccionar o en un formato de archivo basado en IPFIX. La producción de YAF se puede utilizar con las herramientas de análisis de flujo de seda y la cadena de herramientas NetSA Flow agregado (NAF).
YAF también soporta la captura de carga útil parcial - esta característica está diseñada para su uso en "bandera acaparamiento" para la verificación del protocolo y detección de presencia servicio, y actualmente es experimental.
¿Por qué necesita otro generador de eventos de flujo de red del mundo? YAF pretende ser un experimentales desarrollos rastreo aplicación en el grupo de trabajo IETF IPFIX, representación flujo específicamente bidireccional y formatos de almacenamiento de archivo. Está diseñado para un rendimiento aceptable como un sensor de flujo en cualquier red en la que la colección de flujo de caja blanca con el hardware de los productos básicos es apropiado, pero las compensaciones entre el rendimiento bruto y la claridad del diseño en general se han hecho en favor de este último.
La cadena de herramientas YAF actualmente consta de dos herramientas, yaf sí mismo, y yafscii, que convierte la salida yaf en formato ASCII.
Edificio
YAF requiere mucha labia 2.4.7 o posterior. Tenga en cuenta que mucha labia también se incluye en muchos entornos operativos o puertos colecciones.
YAF requiere libairframe.
YAF requiere libfixbuf versión 0.7.0 o posterior.
YAF requiere libpcap.
Endace DAG viven soporte de entrada requiere libdag. Utilice la opción --with-dag a ./configure para habilitar el soporte DAG.
La funcionalidad de etiquetado aplicación YAF requiere la biblioteca de expresiones regulares de Perl, PCRE. Esta biblioteca está disponible en http://www.pcre.org.
Las aplicaciones Yaf también requieren la biblioteca libyaf incluido. libyaf implementa archivo YAF y la red de E / S, decodificación de paquetes, montaje fragmento I, y la generación de flujo. Esta biblioteca está construido e instalado con la distribución de herramientas YAF.
YAF utiliza un sistema razonablemente estándar de acumulación basado en autotools. El procedimiento de construcción habitual (./configure && make && make install) deben trabajar en la mayoría de los ambientes. Tenga en cuenta que YAF encuentra libfixbuf y libairframe utilizando la instalación pkg-config, así que puede que tenga que establecer la variable PKG_CONFIG_PATH en la línea de comando configure si estas bibliotecas se instalan en una ubicación no estándar, que no sea el prefijo a la que va a instalar en sí YAF.
Problemas Conocidos
YAF 0.7.0 no interoperar con versiones anteriores, porque ya no utiliza elementos de información provisionales para la dirección inversa de un BiFlow. YAF 0.7.0 debe ser utilizado con un proceso de recolección IPFIX que utiliza PEN 29305 para elementos de información inversa. Para la exportación de seda, esto implica que la utilidad de compresión de seda o rwipfix2silk debe construirse en contra
libfixbuf 0.7.0 o posterior.
En la actualidad, el elemento de información destinationTransportPort contiene ICMP tipo y código de información para ICMP o icmp6 flujos; esto es no estándar y puede no ser interoperable con otras implementaciones IPFIX.
Comentarios que no se encuentran