IPFIX fut normalisé autour des années 2000. Il entre dans la catégorie des protocoles de supervision réseau même si il ne permet que le monitoring de trafic IP.
objectif:
Un protocole de monitoring est essentiel:
Les protocoles NETCONF et SNMP sont centrés équipements et permettent de monitorer facilement des appareils mais sont moins adaptés pour remonter des informations générales sur le trafic, les principales machines le générant, les principaux protocoles utilisés etc.
IPFIX comme d'autres protocoles de récupération de flux, permet d'avoir des indicateurs à propos du trafic traversant un équipement, par exemple un routeur.
Des outils tels que wireshark ou tcpdump sont des outils d'analyse dits full capture capables de copier/sauvegarder tout ou partie des données échangées sur une ou plusieurs interfaces. De tels outils sont adaptés pour des analyses ou des diagnostics fins mais un tel grain d'information ne permet pas de changement d'échelle et n'est pas adapté à un monitoring de réseau complet.
L'analyse du flux réseau à partir des fichiers ipflow permet notamment la détection de botnet
Un clé (pouvant être composée de plusieurs champs) et des valeurs (métriques)
Protocole adapté pour une supervision large échelle: collecte décentralisée synchronisée. Les routeurs communiquent les informations vers un point distant.
netflow est à l'origine d'IPFIX.
Pour utiliser IPFIX, on définit la clé d'un flux et ses valeurs.
L'architecture IPFIX s'articule autour de deux entités: