Router Forensics: Challenging NetFlow Accuracy

Bei J-Flow von Juniper Networks hat eine Arbeit der UPMC Universität in Paris (Université Pierre et Marie Curie) nachgewiesen, dass bei Langzeitmessungen Lücken in der Auswertung der J-Flow‘s entstehen. Diese Diplom- / Bachelorarbeit untersucht nun die Genauigkeit von Cisco‘s NetFlow gegenüber dem realen Datenverkehr, ob auch bei dieser Technologie die gleichen oder andere Phänomene auftreten. Das NetFlow-Verhalten wird auf einem Cisco Router 2621 getestet. Dabei wird untersucht wie der Router reagiert wenn die Ressourcen, also die CPU oder die Bandbreite, knapp werden. Es wird ermittelt was passiert wenn die Flow-Table gefüllt wird und ob dieses Verhalten der Definition von Cisco entspricht. In einem weiteren Test werden die Zeitstempel analysiert. Dabei wird errechnet, ob die Zeiten in NetFlow eine Abweichung zum realen Datenstrom beinhalten. Die Computer-Uhren werden initial mit NTP synchronisiert und bei einem zusätzlichen Testaufbau mit einer speziellen Karte ausgestattet, welche es erlaubt, die Messung sehr exakt durchzuführen (auf 3-5 Mikrosekunden genau). Ein Resultat war, dass der Router das NetFlow-Paket verwirft, sobald das entsprechende Interface ausgelastet ist, auf welchem der Router das NetFlow-Paket senden sollte. Hingegen behält der Router die NetFlow’s wenn die CPU ausgelastet ist, bis wieder Kapazität der CPU vorhanden ist und die NetFlow’s in einem oder mehreren NetFlow-Paketen versendet werden können. Die NetFlow’s werden frühzeitig exportiert, respektiv abgeschlossen, sobald der Platz in der Flow-Table zu Ende geht. Das gemessene Verhalten entspricht nicht der Cisco-Definition. In der Gesamtdauer aller Flows ergeben sich deswegen Abweichungen zum realen Datenverkehr. Bei den Timestamps wird aufgezeigt, dass NetFlow für alle TCP-Verbindungen die Dauer im Mittelwert um 0.993 Sekunden länger anzeigt, als die realen Verbindungen bestehen.