YAF je Yet Another průtokoměr. Projekt zpracovává paketová data z pcap dumpfiles jak generované tcpdump nebo přes live zachycení z rozhraní pomocí pcap do obousměrných toků, pak exportuje tyto toky IPFIX Sběr procesů nebo ve formátu souboru IPFIX založeného. Výstup YAF lze použít s nástroji Silk proudění analýzu a NetSA Agregovaná Flow (NAF) toolchain.
YAF také podporuje částečné snímání užitečného zatížení - tato funkce je určena pro použití v "banner chytil" pro ověřování protokol a detekci přítomnosti servis, a je v současné době experimentální.
Proč svět potřebovat další vývojový sítě generátor pro zvláštní události? YAF je určen jako experimentální vývoj sledování implementace v pracovní skupině IETF IPFIX, zastupování konkrétně obousměrného toku a archivní formáty pro ukládání. Je určen k provádění přijatelně jako senzor průtoku v jakékoli síti, na které white-box kolekce proudění s komoditním hardware je vhodný, ale kompromisy mezi surový výkon a jasnost designu obecně byly provedeny ve prospěch druhé.
YAF toolchain současné době se skládá ze dvou nástrojů, yaf sám, a yafscii, který převádí yaf výstup do formátu ASCII.
Budova
YAF vyžaduje glib 2.4.7 nebo novější. Všimněte si, že GLib je také součástí mnoha operačních prostředích nebo v přístavech sbírky.
YAF vyžaduje libairframe.
YAF vyžaduje libfixbuf verze 0.7.0 nebo novější.
YAF vyžaduje libpcap.
Endace DAG žít vstup podpora vyžaduje libdag. Použijte volbu --with-Dag, aby ./configure povolit podporu DAG.
Funkce Označení aplikace YAF vyžaduje Perl regulární výraz knihovny PCRE. Tato knihovna je k dispozici na http://www.pcre.org.
Aplikace YAF také požadovat, aby součástí libyaf knihovnu. libyaf implementuje YAF soubor a síť I / O, paket dekódování, montáž fragment, a průtok generace. Tato knihovna je postavena a nainstalován s distribucí YAF nástrojů.
YAF používá přiměřeně standardní build systém autotools bázi. Obvyklý postup build (./configure && make && make install) by měla fungovat ve většině prostředí. Všimněte si, že YAF najde libfixbuf a libairframe pomocí pkg-config zařízení, takže budete muset nastavit proměnnou PKG_CONFIG_PATH na příkazovém řádku, pokud configure jsou tyto knihovny nainstalovány v nestandardním místě, jiný než předponou, do kterého instalujete YAF sám.
Známé problémy
YAF 0.7.0 není spolupracovat s předchozími verzemi, protože se již používá prozatímní informační prvky pro opačném směru biflow. YAF 0.7.0 musí být použita s IPFIX Sběr proces, který používá PEN 29305 pro reverzní informačních prvků. Pro vývoz do hedvábí, to znamená, že Silk balírna nebo rwipfix2silk nástroj musí být postavena proti
libfixbuf 0.7.0 nebo novější.
V současné době, informační prvek destinationTransportPort obsahuje typ a kód ICMP informace pro ICMP nebo ICMP6 toků; to je nestandardní a nemusí být interoperabilní s ostatními implementacemi IPFIX.
Komentáře nebyl nalezen