YAF é mais um medidor de vazão. O projeto processa dados em pacotes de dumpfiles pcap conforme gerado pelo tcpdump ou através de captura ao vivo a partir de uma interface usando pcap em fluxos bidireccionais, em seguida, exporta esses fluxos para IPFIX Processos recolher ou em um formato de arquivo baseado no IPFIX. Saída de YAF pode ser usado com as ferramentas de análise de fluxo de seda e o conjunto de ferramentas NetSA agregado Flow (NAF).
YAF também suporta captura de carga parcial - este recurso é destinado ao uso em "banner agarrando" para verificação de protocolo e detecção de presença serviço, e atualmente é experimental.
Por que o mundo precisa de outro evento gerador de fluxo de rede? YAF pretende ser uma desenvolvimentos experimentais de rastreamento de execução no grupo de trabalho IETF IPFIX, representação fluxo especificamente bidirecional e formatos de armazenamento de arquivamento. Ele é projetado para desempenho aceitável como um sensor de fluxo em qualquer rede em que coleta o fluxo de caixa branca com hardware commodity é apropriado, mas compensações entre desempenho bruto e clareza de projeto foram feitos geralmente em favor deste último.
O conjunto de ferramentas YAF actualmente constituída por duas ferramentas, YAF si, e yafscii, que converte saída YAF em formato ASCII.
Construção
YAF requer glib 2.4.7 ou posterior. Note que glib também está incluído em muitos ambientes operacionais ou portos coleções.
YAF requer libairframe.
YAF requer libfixbuf versão 0.7.0 ou posterior.
YAF requer libpcap.
Endace DAG viver suporte de entrada requer libdag. Use a opção --with-dag do ./configure para ativar o suporte DAG.
A funcionalidade rotulagem aplicação YAF requer a biblioteca de expressão regular Perl, PCRE. Esta biblioteca está disponível em http://www.pcre.org.
As aplicações Yaf também requer a biblioteca libyaf incluídos. libyaf implementa arquivo YAF e rede de I O, decodificação de pacotes, montagem / fragmento, e fluxo geração. Esta biblioteca é construído e instalado com as ferramentas de distribuição YAF.
YAF usa um sistema de construção à base de autotools razoavelmente padrão. O procedimento de construção habitual (./configure && make && make install) deve funcionar na maioria dos ambientes. Note que YAF encontra libfixbuf e libairframe usando a facilidade pkg-config, assim você pode ter que definir a variável PKG_CONFIG_PATH na linha de comando configure se essas bibliotecas são instaladas em um local fora do padrão, que não seja o prefixo para o qual está a instalar-se YAF.
Assuntos Conhecidos
YAF 0.7.0 não interopera com versões anteriores, porque já não utiliza elementos de informação provisórios para o sentido inverso de um BiFlow. YAF 0.7.0 deve ser utilizado com um processo de coleta IPFIX que usa PEN 29305 para elementos de informação reversa. Para exportação para a seda, o que implica que o utilitário empacotador de seda ou rwipfix2silk deve ser construída contra
libfixbuf 0.7.0 ou posterior.
Atualmente, o elemento de informação contém destinationTransportPort ICMP tipo eo código de informações para ICMP ou ICMP6 flui; este é fora do padrão e pode não ser interoperável com outras implementações IPFIX.
Comentários não encontrado