İçeriğe Atla
Teknoloji · 12 dk okuma · görüntülenme
100%

IPFIX/NetFlow ile Ağ Telemetrisi: DDoS ve Kapasite İçin Pipeline

IPFIX/NetFlow akışlarını toplayıp zenginleştirerek DDoS triage, kapasite planlama ve anomali tespiti için operasyonel bir telemetri hattı kurun.

#network #ipfix #netflow #observability #ddos #operations
IPFIX/NetFlow telemetri hattını gösteren kapak görseli

Ağ operasyonunda iki uç vardır: ya sadece “interface utilization” grafiğine bakarsın ya da her paketi yakalayıp boğulursun. Üretimde sürdürülebilir olan üçüncü yol, akış telemetrisidir: IPFIX/NetFlow/sFlow ile “kim kiminle, ne kadar, ne zaman konuştu” sorusuna yeterli doğrulukla cevap verebilirsin.

Bu yazıda, DDoS triage ve kapasite/peering kararlarını destekleyen, gerçekçi bir flow pipeline tasarımını anlatıyorum.

IPFIX/NetFlow telemetri hattını gösteren kapak görseli
Flow telemetrisi, paket yakalamanın maliyetine girmeden operasyonel görünürlük sağlar.

Akış telemetrisi sana ne kazandırır?

Özellikle şu senaryolarda flow “oyun değiştirir”:

  • DDoS: saldırı vektörü (protocol/port), top talker, hedef prefix/servis
  • Kapasite: hangi uygulamalar hattı dolduruyor, hangi saatlerde patlıyor
  • Anomali: yeni hedef ülke/ASN, beklenmedik port, “yüksek fan-out” davranışı
  • Incident: “hangi segment konuştu?” sorusu için hızlı kanıt

Pipeline bileşenleri (minimal ama yeterli)

Benim pratikte işe yarayan minimum mimari:

  1. Exporter: router/switch/firewall üzerinde IPFIX/NetFlow
  2. Collector: UDP alır, normalize eder (mümkünse HA)
  3. Enrichment: ASN/GeoIP, prefix, uygulama etiketleri
  4. Storage: hızlı sorgu (çoğu zaman columnar DB)
  5. Dashboard/Alert: DDoS triage ve kapasite için hazır paneller

Exporter tarafı: doğru yerde, doğru hızda

Flow’u nereden çıkaracağın kritik:

  • Edge uplink: DDoS ve transit/peering görünürlüğü
  • DC core: east-west yoğunluk, kritik segmentler
  • Firewall: politika/zone bağlamıyla korelasyon (vendor’a bağlı)

Sampling kararını netleştir:

  • DDoS ve volumetrik görünürlük için sampling (ör. 1/1000) çoğu zaman yeterlidir.
  • Düşük hacimli ama kritik akışlarda (auth/management) sampling agresif olursa sinyali kaçırabilirsin.

Collector tarafı: UDP gerçeği ve dayanıklılık

Flow collector’ın üretim gerçeği:

  • UDP packet loss olur; bunu “tasarım varsayımı” yap.
  • Collector kapasitesi dolarsa veri kaybı sessizdir.
  • Bu nedenle collector’a da metrik koy: ingest_qps, dropped_packets, queue_depth, cpu, disk.

HA için pratik iki yaklaşım:

  • Exporter’larda iki collector hedefi (aktif/aktif) destekleniyorsa kullan
  • Destek yoksa: anycast VIP + stateless collector (ama burada da loss/dedup konuşulur)

Enrichment: ham flow “tek başına” yetmez

Operasyonel değeri artıran zenginleştirmeler:

  • ASN/GeoIP: kaynak/destination ASN değişimi anomali sinyali üretir
  • Prefix map: “hangi servis/prefix hedef” sorusunu hızlandırır
  • Port map: 443 her zaman “HTTPS” değildir; ama baseline için iyidir
  • Device/zone etiketi: hangi edge/DC/segment

Sorgu modeli: triage sorularına göre tasarla

DDoS triage sırasında en sık sorduğum sorular:

  1. Hedefteki top dst_ip/dst_prefix ne?
  2. Top protocol/port dağılımı nasıl?
  3. Top src_asn / src_country ne?
  4. “Normal baseline”a göre artış nerede başladı?

Bu sorulara hızlı cevap için “son 15 dk, 1 saat, 24 saat” presetleri ve hazır query’ler şart.

Alert mantığı: “hızlı sinyal, düşük gürültü”

Basit ama işe yarayan alarm örnekleri:

  • Belirli prefix/servis için bps veya pps eşik aşımı (baseline ile)
  • Yeni görülen dst_port (prod’da hiç yokken bir anda yükseliyorsa)
  • Tek bir src_asn’den aşırı artış

Runbook: DDoS anında flow ile 5 dakikada tablo çıkar

Benim pratik “ilk 5 dakika” akışım:

  1. Hedef prefix/servisi belirle (LB VIP, anycast prefix, app subnet)
  2. Son 5–10 dk için top dst_port/protocol çıkar
  3. Top src_asn ve top src_country çıkar
  4. Eğer udp/53, udp/123, udp/1900 gibi bilinen vektörlerse upstream ile aynı dilden konuş
  5. Mitigation kararını ver: RTBH/FlowSpec/scrubbing/WAF (servis tipine göre)

Bu disiplinde flow, “hissettim saldırı var” yerine “kanıt” üretir.

Sonuç

IPFIX/NetFlow tabanlı telemetri hattı; DDoS anında daha hızlı ve daha doğru karar almanı, normal zamanda ise kapasite ve anomali görünürlüğünü güçlendirmeyi sağlar. Paket yakalama kadar ağır değildir, SNMP grafiği kadar kör de değildir. Doğru sampling, iyi enrichment ve net triage soruları ile flow telemetrisi ağ operasyonunun en verimli sinyal kaynaklarından birine dönüşür.

Paylaş:

Bu yazı faydalı oldu mu?

Yükleniyor...

Bu yazı nasıldı?

ME

Mustafa Erbay

Sistem Mimarisi · Network Uzmanı · Altyapı, Güvenlik ve Yazılım

2006'dan bu yana sistem mimarisi, network, sunucu altyapıları, büyük yapıların kurulumu, yazılım ve sistem güvenliği ekseninde çalışıyorum. Bu blogda sahada karşılığı olan teknik deneyimlerimi paylaşıyorum.

Kişisel Notlar

Bu notlar sadece sizde saklanır. Tarayıcınızda yerel olarak tutulur.

Hazır 0 karakter

Yorumlar

Sunucu Taraflı AI Moderasyon

Yorumlar sunucuda yapay zeka ile denetlenir ve kalıcı olarak saklanır.

?
0/2000

Sunucu taraflı AI denetim

Yeni yazılardan haberdar olun

Haftada bir yeni içerikler ve kaynaklar doğrudan e-postanıza gelsin.

Spam yok. Yalnızca yeni ve önemli içerikler için e-posta gönderilir.

Okuma İstatistikleriniz

0

Yazı Okundu

0dk

Okuma Süresi

0

Gün Serisi

-

Favori Kategori

İlgili Yazılar

Teknoloji

DDoS Scrubbing Center Tasarımı: GRE, BGP ve Failover

Saldırı anında trafiği scrubbing’e yönlendirip temizleyerek servisi ayakta tutmak için GRE tünel, BGP sinyali, kapasite ve operasyon runbook’u.

Teknoloji

BGP BMP ile Route Analytics: Görünürlük ve Incident Triage

Route leak, flap ve blackhole olaylarını dakikalara indirmek için BMP telemetrisini, rota analitiğini ve alarm modelini birleştiren pratik yaklaşım.

Teknoloji

Kritik Sistemlerde Zaman Senkronizasyonu: NTP, PTP ve İzlenebilirlik

Dağıtık sistemlerde TLS, log korelasyonu ve tutarlılık için NTP/PTP mimarisi, güvenlik ve operasyonel izleme yaklaşımı.