Служебные протоколы > Учет трафика IPFIX
Previous 

Трафик с NAT

 Next

Таблица. Шаблон 258

п/п

Код

Наименование кода

Типоразмер

Описание

1

1

octetDeltaCount

unsigned64

Количество октетов с момента предыдущего отчета (если есть) во входящих пакетах для этого потока в точке наблюдения. Количество октетов включает IP-заголовок(и) и полезную нагрузку IP

2

2

packetDeltaCount

unsigned64

Количество входящих пакетов с момента предыдущего отчета (если есть) для этого потока в точке наблюдения

3

4

protocolIdentifier

unsigned8

Идентификатор протокола

4

6

tcpControlBits

unsigned16

Наблюдаемые управляющие биты TCP для пакетов этого потока. Эта информация кодируется в виде битового поля; для каждого управляющего бита TCP в этом наборе есть бит. Бит устанавливается равным 1, если для любого наблюдаемого пакета этого потока установлен соответствующий бит управления TCP, равный 1. В противном случае бит будет очищен до 0.

 

Значения каждого бита показаны ниже в соответствии с определением битов в заголовке TCP [RFC9293][RFC3168]:

 

MSb LSb

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

+---+---+---+---+---+---+---+---+---+---+---+---+---+---+---+---+

| | | N | C | E | U | A | P | R | S | F /

| Нулевой | Будущий | S | W | C | R | C | S | S / Y | I |

| (Смещение данных) | Использовать | | R | E | G | K | H | T / N | N |

+---+---+---+---+---+---+---+---+---+---+---+---+---+---+---+---+

 

битовый флаг

значение имя описание

------+-----+-------------------------------------

0x8000 Ноль (см. tcpHeaderLength)

0x4000 Ноль (см. tcpHeaderLength)

0x2000 Ноль (см. tcpHeaderLength)

0x1000 Ноль (см. tcpHeaderLength)

0x0800 Будущее использование

0x0400 Будущее использование

0x0200 Будущее использование

0x0100 NS ECN одноразовая сумма

Уменьшено окно перегрузки 0x0080 CWR

0x0040 ЕСЕ ECN Echo

0x0020 URG Поле срочного указателя значимо

0x0010 Поле подтверждения подтверждения значимо

Функция Push 0x0008 PSH

0x0004 СНАЧАЛА сбросьте соединение

0x0002 SYN Синхронизирует порядковые номера

0x0001 FIN Больше нет данных от отправителя

Поскольку наиболее значимые 4 бита октетов 12 и 13 (считая от нуля) заголовка TCP [RFC9293] используются для кодирования смещения данных TCP (длины заголовка), соответствующие биты в этой информации Элемент ДОЛЖЕН быть экспортирован как ноль и ДОЛЖЕН игнорироваться сборщиком. Используйте информационный элемент tcpHeaderLength для кодирования этого значения.

 

Каждый из 3 битов (0x800, 0x400 и 0x200), которые зарезервированы для будущего использования в [RFC9293], СЛЕДУЕТ экспортировать, как указано в заголовках TCP пакетов этого потока.

 

При экспорте в виде одного октета с кодировкой уменьшенного размера этот информационный элемент охватывает октет младшего порядка этого поля (т.Е. биты от 0x80 до 0x01), исключая одноразовую сумму ECN и три бита будущего использования. Сборщик, получающий этот информационный элемент с кодировкой уменьшенного размера, не должен ничего предполагать о содержимом этих четырех битов.

 

Экспортирующие процессы, экспортирующие этот информационный элемент от имени процесса учета, который не способен отслеживать какие-либо биты одноразового номера ECN или биты будущего использования, ДОЛЖНЫ использовать кодирование уменьшенного размера и экспортировать только 8 младших значащих битов этого информационного элемента.

 

Обратите внимание, что в предыдущих версиях определения этого информационного элемента указывалось, что биты CWR и ECE должны экспортироваться как нулевые, даже если они соблюдены. Поэтому сборщики не должны предполагать, что нулевое значение для этих битов в этом информационном элементе указывает, что биты никогда не устанавливались в наблюдаемом трафике, особенно если эти биты равны нулю в каждой записи потока, отправленной данным экспортером.

5

7

sourceTransportPort

unsigned16

TCP/UDP-порт отправителя

6

8

sourceIPv4Address

ipv4Address

IP-адрес отправителя

78

10

ingressInterface

unsigned32

Номер порта ФПСУ-IP, на который были приняты пакеты

9

11

destinationTransportPort

unsigned16

TCP/UDP-порт получателя

10

12

destinationIPv4Address

ipv4Address

IP-адрес получателя

11

14

egressInterface

unsigned32

Номер порта ФПСУ-IP, через который пакеты должны быть отправлены, либо 0, если это неизвестно

12

32

icmpTypeCodeIPv4

unsigned16

Тип/код сообщения для ICMP протокола

см. пункт «Особенности реализации ICMP протокола» , таблица «Типы ICMP-ответов ФПСУ-IP»

13

44

sourceIPv4Prefix

ipv4Address

Адрес ФПСУ-IP, если абонент-отправитель прописан за ФПСУ-IP, либо 0

14

45

destinationIPv4Prefix

ipv4Address

Адрес ФПСУ-IP, если абонент-получатель прописан через ФПСУ-IP, либо 0

15

152

flowStartMilliseconds

dateTimeMilliseconds

Абсолютная временная метка первого пакета этого потока

16

153

flowEndMilliseconds

dateTimeMilliseconds

Абсолютная временная метка последнего пакета этого потока

17

225

postNATSourceIPv4Address

ipv4Address

Определение этого информационного элемента идентично определению информационного элемента 'sourceIPv4Address', за исключением того, что он сообщает измененное значение, вызванное функцией промежуточного блока NAT после того, как пакет прошел точку наблюдения

18

226

postNATDestinationIPv4Address

ipv4Address

Определение этого информационного элемента идентично определению информационного элемента 'destinationIPv4Address', за исключением того, что он сообщает измененное значение, вызванное функцией промежуточного блока NAT после того, как пакет прошел точку наблюдения

19

227

postNAPTSourceTransportPort

unsigned16

Определение этого информационного элемента идентично определению информационного элемента 'sourceTransportPort', за исключением того, что он сообщает измененное значение, вызванное функцией промежуточного блока преобразования сетевого адреса (NAPT) после того, как пакет прошел точку наблюдения

20

228

postNAPTDestinationTransportPort

unsigned16

Определение этого информационного элемента идентично определению информационного элемента 'destinationTransportPort', за исключением того, что он сообщает об измененном значении, вызванном функцией промежуточного блока преобразования сетевого адреса (NAPT) после того, как пакет прошел точку наблюдения.

21

231

initiatorOctets

unsigned64

Общее количество байтов полезной нагрузки уровня 4 в потоке от инициатора с момента предыдущего отчета. Инициатором является устройство, которое инициировало создание сеанса, и остается неизменным в течение срока действия сеанса.

22

232

responderOctets

unsigned64

Общее количество байтов полезной нагрузки уровня 4 в потоке от ответчика с момента предыдущего отчета. Ответчик - это устройство, которое отвечает инициатору и остается неизменным в течение срока действия сеанса.

23

233

firewallEvent

 

Код события: 3 → flow_denied

Указывает на событие брандмауэра. Допустимые значения перечислены в реестре firewallEvent:

Значение Описание

0        Ignore (invalid)

1        Flow Created

2        Flow Deleted

3        Flow Denied

4        Flow Alert

5        Flow Update

6-255        Unassigned

24

298

initiatorPackets

unsigned64

Общее количество пакетов уровня 4 в потоке от инициатора с момента предыдущего отчета. Инициатором является устройство, которое инициировало создание сеанса, и остается неизменным в течение всего срока действия сеанса.

25

299

responderPackets

unsigned64

Общее количество пакетов уровня 4 в потоке от ответчика с момента предыдущего отчета. Ответчик - это устройство, которое отвечает инициатору и остается неизменным в течение срока действия сеанса.