Яфф это: Яффа | это… Что такое Яффа?

Яффа в Тель-Авиве — подробная информация с фото

В последние десятилетия Яффа стала частью Тель-Авива, однако на протяжении предыдущих 4000 лет это был отдельный город с богатой историей, о которой его более крупный сосед может только мечтать. В прошлом это был один из главных торговых портов Средиземноморья, в Яффе начиналась главная дорога на Иерусалим. Направлявшиеся из Европы тысячи паломников, крестоносцы и многие другие попадали на Святую землю именно через Яффу.

Сегодня Яффа — это шумный арабский пригород Тель-Авива, но на улочках Старого города вы найдете тишину, покой и необычную архитектуру.

Содержание

  • Квартал художников
  • Часовая башня
  • Плошадь Кедумим и парк Ха-Пигса
  • Порт
  • Сук Ха-Пишпешим (блошиный рынок)

Квартал художников

Очарование старой Яффы создают мощенные булыжником улочки, идущие от площади Кедумим к порту. Узкие переулки со старинными каменными домами образуют лабиринт, в котором легко потеряться (именно так рекомендуется и поступить).

Среди этих улочек и переулков разместились многочисленные художественные галереи, экстравагантные владельцы которых открыли свои дома для посетителей, чтобы те могли восхититься их талантом и мастерством, а также красотой старинных домов Яффы. Центральная улица квартала художников называется Мазал Дагим.

Часовая башня

Красивая башня служит визитной карточкой Яффы. Это одна из семи часовых башен, построенных в период Оттоманской империи, чтобы помочь прибывающим в порт купцам привыкнуть к европейскому времени. В среду в 9.30 от Часовой башни отправляется бесплатная экскурсия по городу.

Плошадь Кедумим и парк Ха-Пигса

В центре старой Яффы находится площадь Кедумим, на которой расположен Музей истории Яффы и туристический центр (открыто: ежедневно 10.00-18.00; вход платный). Лестница ведет вниз, в недавно обновленный музей, рассказывающий об истории города. В районе площади находятся францисканская церковь Святого Петра, которую, как гласит легенда, посетил Наполеон (его статуя на площади), и богато украшенная греческая православная церковь Святого Михаила и Святой Тавифы. С одной стороны площади булыжные мостовые квартала художников ведут к порту, а с другой, на вершине невысокого холма, раскинулся парк Ха-Пигса (вход свободный). Узкие тропинки вьются среди красивых растений, с вершины холма открывается красивый вид на береговую линию Тель-Авива, а в маленьком амфитеатре летом устраиваются концерты.

Порт

Гуляя по тихому, спокойному порту с маленькими рыбацкими лодками, грудами сетей, складами, в которых расположились художественные галереи, и рыбными ресторанчиками, трудно представить, что когда-то это был один из самых главных и оживленных портов мира. И действительно, археологические находки указывают, что еще 4000 лет назад этим портом пользовались египтяне и финикийцы. Считается, что это старейший непрерывно действующий порт в мире. В Библии Яффа упоминается как пункт, через который на Святую землю доставлялись строительные материалы для Первого храма, возводимого по приказу царя Соломона. Название города ассоциируется с греками, апостолом Петром, римлянами, Ричардом Львиное Сердце и крестоносцами, Наполеоном, оттоманскими правителями и генералом Алленби, который завоевал город в период действия британского мандата. В море недалеко от набережной видны несколько скал, самую темную из которых называют скалой Андромеды. Согласно греческому мифу, отец прекрасной Андромеды царь Цефей приковал дочь к этой скале в качестве жертвы морскому чудовищу, созданному Посейдоном. Герой Персей убил чудовище и освободил девушку.

Сук Ха-Пишпешим (блошиный рынок)

Этот рынок дает возможность почувствовать настоящую ближневосточную атмосферу: шум, суета, яркие краски и традиционные товары. Здесь продается и покупается что угодно: медные и бронзовые изделия, персидские изразцы, предметы иудаики. Разнообразие хаотично расположенным прилавкам придают подержанная одежда, ткани и старинная мебель. В пятницу утром на рынке не протолкнуться — многие местные жители приходят сюда в поисках сокровища, которое можно найти среди груды никому не нужных вещей; не остаются без внимания и окружающие рынок рестораны, кафе и художественные галереи.

Открыто: вс—чт 10.00-18.00, пт 10.00-14.00. Автобус: 10 (от улицы Бен-Иегуды).

Смотрите также: Гайана, Сент-Винсент и Гренадины, Малайзия, Катманду, Баго, Новодевичий монастырь, Владимирский собор в Киеве

описание, адрес, время и режим работы 2023

Яффо или Яффа — старый город Тель-Авива. Это полная противоположность шумному и молодежному Тель-Авиву. Здесь можно бродить по узким древним улочкам и изучать историю.

В Яффо есть все для спокойного отдыха: уютные рестораны, красивые морские пейзажи и интересные памятники.

Расположение

Израиль, Тель-Авив, Яффо

Старинные улочки

Древний период

Поселения на территории Яффо появились еще в XVIII веке до н.э. Считается, что первыми поселенцами стали египтяне. Для обороны они установили защитные укрепления. Позже Яффо перешел под власть римлян. Здесь правили Помпей, Юлий Цезарь, Марк Антоний, Октавиан Август, Ирод Великий. Во времена римского правления город расцвел.

Но Яффо не удалось удержаться на плаву — во время Иудейской войны город разрушили. Восстановление города не заставило себя ждать. Вскоре власть перешла к Весласиану. Он полностью восстановил город и назвал его Флафия Иоппа. 

В VII веке н.э. Яффо переходит под власть арабов. Город теряет свою значимость. Здесь больше не проходит торговля, а крепость не исполняет свои функции. В городе продолжает работать только порт. Но вскоре и порт приходит в упадок. Порт сохранил только одну свою функцию — через него паломники попадали на Святую Землю.

Через 5 веков в город приходят крестоносцы и все меняется коренным образом. Новая власть изгоняет местных арабов и евреев, город становится столицей Графства Яффы и Аскалона. В этот период начинается активное строительство.

На этом страдания города не закончились: в 1191 году Ричард Львиное сердце захватил город, в 1268 году султан Бейбарс I полностью разрушил Яффо. На 4 века город исчезает с карты и не принимает корабли. Во время наполеоновских войн город захватывают французы. 

Яффо сейчас

Сейчас Тель-Авив и Яффо — один город. Их объединили в 1950-х годах. Объединение никак не повлияло на облик города. Он сохранил свою атмосферу спокойствия.

За последние годы Яффо превратился в туристическое место и обитель израильской богемы. Здесь можно встретить множество мастерских, арт-бутиков, галерей, театров и музеев. На 1кв метре проживает огромное количество художников, скульпторов и музыкантов. 

Приехав в Тель-Авив, туристы в первый же день отправляются в Яффо. Но по древним улочкам ходить не так просто — возьмите с собой карту с достопримечательностями.

В Яффо есть «must see», которые стремятся увидеть туристы и запечатлеть их на своих снимках. В городе есть квартал знаков зодиака. Бродя по улочкам, можно найти свой знак и сфотографироваться с ним. Среди туристов ходит легенда — прикоснитесь к своему знаку и удача придет к вам.

Парящее апельсиновое дерево — достопримечательность, которая есть у каждого туриста в инстаграме. Скульптор Рон Морин создал этот арт-объект в 1993 году, но так и не объяснил его значение. На данный момент есть две версии. По одной из версии парящее дерево символизирует еврейский народ. У евреев не было своей земли и их раскидали по всему миру. Даже без своей земли народ продолжал жить и творить.

В Яффо можно встретить старинные церкви: Церковь Апостола Петра и католическая церковь Апостола Петра. Апостол Петр — важная фигура города. Именно здесь у апостола было видение и здесь же он воскресил праведницу Тавифу. 

Не стоит забывать, что Яффо — морской город. Испокон веков порт был важной составляющей города. Сегодня порт является лишь туристической достопримечательностью. Местные жители и туристы приходят в порт, чтобы посидеть в ресторане, прогуляться по выставочным залам и зайти в магазинчики. Если вам захочется «выйти в море» — на берегу вас ждут лодки, прогулочные катера и яхты.

Как добраться

До Яффо можно дойти пешком, прогуливаясь по набережной. За 20 минут можно уйти из шумного Тель-Авива и попасть в спокойный Яффо. 

Yaff Documentation — Документация Yaff 1.

4.2

Yaff расшифровывается как «Еще одно силовое поле». Это питонический код силового поля (FF).
используется в Центре молекулярного моделирования (CMM) для
тест-драйв новых моделей FF. Первоначальной мотивацией для разработки Yaff было предоставление
хорошая эталонная реализация силовых полей, разработанная в CMM. В своем
Текущая версия Yaff универсальна и достаточно гибка, чтобы справляться с большим разнообразием
моделей силового поля.

Руководство пользователя

Это руководство представляет собой краткое введение в Yaff со множеством примеров.

  • 1. Функции и примечания к выпуску
    • 1.1. Особенности
    • 1.2. Примечания к выпуску
  • 2. Установка
    • 2.1. Отказ от ответственности
    • 2.2. Внешние зависимости
    • 2.3. Установка
    • 2.4. Протестируйте свою установку
  • 3. Если вы столкнулись с проблемой
  • 4. Как цитировать Яфф
  • 5. Обзор Yaff
  • 6. Представление молекулярной системы
    • 6.1. Введение
    • 6.2. Работа с System class
  • 7. Язык ATSELECT
  • 8. Модели силового поля
    • 8.1. Введение
    • 8.2. Формат файла параметров силового поля
    • 8.3. Пример файла силового поля
    • 8.4. Файлы параметров за пределами силового поля
  • 9. Исследование фазового пространства
    • 9.1. Введение
    • 9.2. Молекулярный Dynacmis
    • 9.3. Оптимизация геометрии
    • 9.4. Гармонические приближения
  • 10. Траекторный анализ
    • 10.1. Нарезка данных
    • 10.2. Базовый анализ
    • 10.3. Расширенный анализ
    • 10.4. Постобработка данных внешней траектории
  • 11. Настройка параметров силового поля

Учебные пособия

  • 1. Эксперименты Яффа на альфа-кварце с потенциалом БКС
    • 1.1. Введение
    • 1.2. Подготовка
    • 1. 3. Объемный модуль
    • 1.4. Термическое расширение
    • 1.5. Ссылки

Справочное руководство

Это руководство в основном создается автоматически на основе строк документа в
исходный код.

  • 1. yaff – YAFF — Еще одно силовое поле
    • 1.1. yaff.atselect — Язык ATSELECT
    • 1.2. yaff.log — Регистратор экрана
    • 1.3. yaff.system – Представление молекулярных систем
    • 1.4. yaff.version — не редактируйте этот файл, управление версиями регулируется git description --tags и setup.py .
  • 2. yaff.pes – Поверхности потенциальной энергии силового поля (ПЭС)
    • 2.1. yaff.pes.dlist — Списки ближних соседей для терминов ковалентной энергии
    • 2.2. yaff.pes.ff — Модели силового поля
    • 2.3. yaff.pes.generator — автоматически генерировать модели силового поля
    • 2. 4. yaff.pes.iclist — Списки внутренних координат для терминов ковалентной энергии
    • 2.5. yaff.pes.nlist — Списки соседей для парных (несвязывающих) взаимодействий
    • 2.6. yaff.pes.parameters — Объектно-ориентированное представление файлов параметров
    • 2.7. yaff.pes.scaling – Ближний масштаб парных взаимодействий
    • 2.8. yaff.pes.vlist – Модуль для полного списка терминов ковалентной энергии.
  • 3. yaff.sampling – Выборка в фазовом пространстве
    • 3.1. yaff.sampling.dof — Слой абстракции для степеней свободы
    • 3.2. yaff.sampling.harmonic – модели Harmonic
    • 3.3. yaff.sampling.io — Авторы траекторий
    • 3.4. yaff.sampling.iterative — Базовый класс для итерационных алгоритмов
    • 3.5. yaff.sampling.npt – баростаты
    • 3. 6. yaff.sampling.nvt – Термостаты
    • 3.7. yaff.sampling.opt — Оптимизация геометрии/ячейки
    • 3.8. yaff.sampling.trajectory — Вычисления на эталонной траектории
    • 3.9. yaff.sampling.utils — Вспомогательные процедуры для начальных скоростей
    • 3.10. yaff.sampling.verlet — универсальный интегратор Verlet
  • 4. yaff.analysis – Траекторный анализ
    • 4.1. yaff.analysis.basic — Основные процедуры анализа траектории
    • 4.2. yaff.analysis.blav – Метод блочного усреднения
    • 4.3. yaff.analysis.diffusion – Константы диффузии
    • 4.4. yaff.analysis.hook — Реализация абстрактного хука для анализа траектории
    • 4.5. yaff.analysis.pca – Набор инструментов для анализа главных компонентов (PCA)
    • 4.6. yaff.analysis.rdf – Функции радиального распределения
    • 4. 7. yaff.analysis.spectrum – Спектральный анализ и автокорреляционные функции
    • 4.8. yaff.analysis.utils – Вспомогательные процедуры анализа
  • 5. yaff.conversion – Преобразование внешних траекторных данных
    • 5.1. yaff.conversion.common — Инструменты для записи данных траектории
    • 5.2. yaff.conversion.cp2k — Файлы CP2K
    • 5.3. yaff.conversion.dlpoly — Файлы DLPOLY
    • 5.4. yaff.conversion.gaussian — Gaussian09 Файлы журнала BOMD
    • 5.5. yaff.conversion.xyz — Файлы XYZ
  • 6. yaff.tune – Инструменты для калибровки параметров ФФ
    • 6.1. yaff.tune.cost — Функции стоимости для калибровки параметров FF
    • 6.2. yaff.tune.transform — Спецификация переменных в файле параметров

Указатели и таблицы

  • Индекс
  • Индекс модуля
  • Страница поиска

ЯФ

Еще один расходомер (YAF) представляет собой датчик,
трафик в сети, живой или из файлов PCAP. Он генерирует поток
data — который содержит информацию о каждом соединении, наблюдаемом на
сетевой — из потока наблюдаемых пакетов. YAF проверяет пакет
полезные нагрузки, собирает полезную информацию для определенных протоколов и экспортирует
это в шаблоне, специфичном для протокола — процесс, известный как глубокий пакет
осмотр (ДПИ). YAF соответствует
ИПФИКС
стандарт.

Роль YAF в CERT NetSA Security Suite

YAF — это компонент сбора данных CERT NetSA Security Suite. Его
цель состоит в том, чтобы превратить пакеты в сетевые потоки для обработки
вспомогательные инструменты, такие как
конвейер анализа,
СилК и
Мотра.
Это неотъемлемая часть функций мониторинга и анализа сети.
предоставляется набором инструментов CERT NetSA.

Рекомендуемое использование YAF

Обзор

YAF изначально задумывался как экспериментальное отслеживание реализации.
разработки в рабочей группе IETF IPFIX, особенно двунаправленные
потоковое представление, форматы архивного хранения и экспорт структурированных данных
с глубокой проверкой пакетов (DPI). Он предназначен для приемлемой работы в качестве
датчик потока в любой сети, в которой сбор данных о потоках методом белого ящика с
товар оборудование подходит. YAF можно и нужно использовать по специальности
оборудование, когда важны масштабируемость и производительность.

С первоначальным намерением в качестве контекста существует несколько современных
приложения YAF, работающие либо с данными, поступающими из действующей сети, либо
из набора уже захваченных пакетов. В текущем наборе инструментов
YAF стал основным, но не единственным инструментом для работы с пакетными
данные. Приложения YAF включают в себя:

  • Записи о расходах здания
  • Построение записей потока с полями DPI
  • Построение индекса записей потока
  • Индексация файлов захвата пакетов с метаданными
  • Создание записей Packet-per-flow

Записи по строительству

Первая и основная функция YAF — создание записей о потоках, особенно
поддерживает обеспечение доступности, производительности и безопасности. ЯФ
выводит потоки в формате IPFIX, используя шаблоны, соответствующие данным. Это
может получать входные данные из действующей сети или файлов PCAP. Записи потока используют
двоичный формат, поэтому они намного меньше, чем полные захваты пакетов или
текстовое представление данных. Процесс генерации потоков
извлекает важные для безопасности поля, но отбрасывает большую часть или весь пакет
данные, повышая конфиденциальность данных и снижая требования к хранению. С
они в основном агрегируют информацию заголовков, записи потока в основном
не зависит от использования TLS или других протоколов шифрования, что позволяет проводить анализ
без нарушения шифрования.

Применение YAF для создания записей позволяет выполнять анализ с помощью наборов инструментов потока.
включая SiLK и Analysis Pipeline, извлекает соответствующие поля и
суммирует трафик в течение длительного времени или большой сети
инфраструктуры. Операторы крупных сетей экономят место на
преобразование записей потока в более компактный двоичный формат SiLK.

Создание записей из действующей сети

Размещение процессов YAF в качестве сенсоров на магистральных маршрутизаторах или границе
маршрутизаторы обеспечивают генерацию релевантных внешним угрозам или
нарушение схемы трафика, но обычно не генерирует записи
которые позволяют полностью охарактеризовать конкретный хост или устройство. Размещение
датчик внутри поддоменов позволяет более целенаправленно и детально вести себя
наблюдение за трафиком к хостам или устройствам в этих доменах. Пока
трансляция адресов или обработка шлюза могут привести к сопоставлению потоков
между подобластями сложно, усиление характеристики в пределах
домен вполне может быть стоящим. Наконец, поместив датчик вне
границы организации могут быть важны для оценки
площадь сети, производительность и доступность трафика для важных
внешние сети.

Гибкость YAF в поддержке этих разнообразных размещений и его
Эффективность генерации потока поддерживает сбор по множеству
сети. YAF настраивается в соответствии с размещением и идентификацией
датчик, генерирующий записи расхода. Есть даже особенности, конкретно
области наблюдения, чтобы зафиксировать местоположение датчика.

Генерация потока может быть реализована на автономных устройствах или в режиме реального времени на
устройства пересылки пакетов, такие как маршрутизаторы. В любом случае датчик
необходимо разместить там, где трафик транслируется или распределяется между хостами для
уменьшить потери трафика. YAF также может быть размещен на определенных серверах для
целевой сбор. Сам YAF работает очень эффективно, с успешным
размещение было сделано на недорогих одноплатных компьютерах для
сбор в очень маленьких сетях или сетях с небольшим трафиком. Более типично,
измерительные приборы могут быть как обычными, так и специальными
устройства.

Строительные записи из PCAP

YAF можно использовать для ранее захваченных пакетов, файлов PCAP для создания
записи. Эти записи будут такими же, как если бы эти пакеты были собраны
из живой сети. Эти записи чаще всего предназначены для ретроспективы.
Анализ события или состояния. Генерация записей потока из пакета
данные позволяют обобщить взаимодействия и выделить
опасный или проблемный трафик. Обычно это делается на специальном
узел анализа с достаточным объемом памяти для хранения пакетов. Данные потока
сам по себе обычно достаточно мал, чтобы не перенапрягать недорогие
хранилище, учитывая относительно большой размер перехваченных пакетов. ЯФ
быстрая обработка облегчает его использование на средних и больших коллекциях
пакеты. За один прогон YAF может обработать серию файлов PCAP. Однажды
генерируются записи, инструменты анализа могут профилировать или суммировать
присутствующий трафик, быстро анализируя событие или состояние.

Записи потоков построения с полями DPI

Генерируя потоки, YAF проверяет полезную нагрузку пакетов, захватывает
информацию, относящуюся к протоколу, и организует ее для экспорта в
специфические для протокола шаблоны, прикрепленные к потокам. Эти специфичные для протокола
поля предназначены для протоколов прикладного уровня (например, DNS, SSL, HTTP(S), SMTP)
а не для протоколов транспортного уровня (например, TCP, UDP, ICMP)
информация, захваченная в основном шаблоне для потока. Захват этих
полей зависит от идентификации протокола прикладного уровня через
процесс маркировки приложений с использованием либо регулярного выражения, либо
специализированный плагин. Если YAF не распознает протокол или приложение
маркировка не включена, она не будет генерировать поля DPI. Создавая
эти поля явно, YAF делает их доступными для улучшенной фильтрации
и сопоставления, а также для архивирования для использования в дальнейшем анализе тенденций и анализе.

Одним из распространенных способов использования полей DPI является более точная фильтрация и
согласование сетевого трафика. Фильтруя по этим полям, анализирует
(будь то потоковая передача с использованием таких инструментов, как конвейер анализа или ретроспективная
с помощью таких инструментов, как пакет SiLK) может исключать трафик, не связанный с
исследуемое событие или условие. Например, сопоставление определенного
домен в поле захваченного URL-адреса для веб-трафика, вероятно, будет более
точнее, чем сопоставление IP-адреса веб-сервера, поскольку такие серверы
может поддерживать большое количество доменов. Исключая потоки с нерелевантными
URL-адреса, анализ может более четко выделить характеристики
трафик.

Другое распространенное использование полей DPI — заполнение репозиториев или
базы данных для последующего определения тенденций и анализа. Например, база данных DNS
разрешение, записанное со временем и местом захвата, облегчает
понимание доменов, которые меняют разрешение, что влияет на
разнообразие анализов. База данных SSL-сертификатов может быть полезна для
выявлять атаки повторного использования сертификатов или другие угрозы. Как присоединяется YAF
эти поля DPI для выходных потоков, SuperMediator может обрабатывать их для их
конечное место хранения. Во время приема данных некоторые установки
создавать кэши DPI для более быстрого определения наличия индикаторов,
позволяя аналитикам избегать поиска этих полей по всему репозиторию.

Создание указателя записей потоков

Чтобы охарактеризовать влияние трафика на сеть, аналитик должен быть
возможность отслеживать его перемещение по сети. Также может возникнуть необходимость
оценить, сколько трафика проходит через неожиданную или неинструментированную сеть
пути. Для сложных сетевых архитектур или больших сетей трафик может
пройти несколько каналов и виртуальных сетей (VLAN) от источника к
место назначения. Датчики на каналах и VLAN могут записывать это отдельно.
трафика несколько раз. Аналитики могут охарактеризовать трафик на этих
ссылки путем создания сводной информации о созданных потоках могут помочь
для выявления повторяющихся захватов одного и того же трафика. Это резюме
информация, называемая метаданными, состоит из ряда строк
хэш ключа потока записи, время начала с точностью до миллисекунды и файл захвата
имя. Метаданные представляют собой небольшую текстовую сводку по каждому потоку.
предоставление индекса того, какие потоки появляются и где они появляются. Поток
key hash — это криптографическое хеш-значение, сгенерированное из источника и
IP-адреса назначения, порты источника и назначения, протокол и VLAN
идентификатор. Если поток присутствует более чем в одном файле захвата,
быть несколькими строками с одинаковым хэшем ключа потока и временем начала. Это не
возможно, что более чем один поток будет иметь один и тот же хеш-ключ и время начала
пара.

Поскольку YAF читает или записывает файлы захвата пакетов во время своего потока
генерация, он имеет возможность записывать метаданные для потоков
генерируется из каждого такого файла. У данного файла захвата может быть много потоков
внутри него, поэтому соответствующий файл метаданных будет содержать много строк
данные. С помощью инструментов быстрого поиска по тексту, таких как fgrep, можно
быстро определить интересующие потоки и связать их с точкой
захвата.

Есть несколько способов использования этих метаданных. Во-первых, это может помочь
быстро идентифицировать потоки, генерируемые в нескольких точках
инфраструктуры (например, путем сортировки по хэшу ключа потока и идентификации
потоки с общими хэшами). Во-вторых, его можно использовать для индексации и фильтрации.
захваты пакетов (см. следующий раздел). В-третьих, его можно использовать для идентификации
неполное измерение расхода, когда ожидаемые потоки не генерируются (например,
изолируя потоки, которые должны генерироваться с избыточностью, рассчитать поток
хэш-ключи, а затем сравнить с фактическим поколением).
компактность метаданных способствует быстрой обработке.

Индексирование файлов захвата пакетов

В общем, работа с большими файлами захвата пакетов
трудный. Изоляция интересующего трафика и характеристика хостов
это расширенный процесс с использованием различных наборов инструментов. YAF
пакет в сочетании с инструментами анализа SiLK предлагает варианты для уменьшения этого
сложности и быстро изолировать трафик и охарактеризовать хосты, а также
также для конкретной идентификации задействованных пакетов.

Во-первых, YAF может разделять файлы захвата с помощью параметров —pcap и —max-pcap.
параметры. Если YAF одновременно создает файл метаданных, он
вставьте имя файла соответствующего разделения в этот файл. Однажды
записи потока генерируются и конвертируются для использования SiLK, их можно
фильтруется, чтобы изолировать интересующие потоки. Соответствующий ключ потока
затем хэши могут быть пересчитаны и сопоставлены с хэшами ключей потока.
для разделенных файлов захвата, чтобы изолировать интересующие пакеты.

Во-вторых, если YAF не используется для разделения файлов захвата или файла метаданных,
записи выходного потока могут быть преобразованы и отфильтрованы с помощью пакета SiLK
чтобы изолировать интересующие записи потока, а затем хэши ключа потока и
время начала миллисекунд для этих записей может быть рассчитано, и YAF запускает
второй раз перехватывает входной пакет, на этот раз фильтруя
пакеты, формирующие потоки, соответствующие этим записям метаданных. Этот процесс
предполагает хранение меньшего количества данных, но, вероятно, будет несколько медленнее, чем
вычисление метаданных и создание разделенных файлов захвата.

Как только интересующие пакеты идентифицированы, их можно проверить и
дальнейшая фильтрация с использованием обычных инструментов анализа пакетов.

Создание записей Packet-per-Flow

YAF можно использовать для преобразования каждого наблюдаемого пакета в поток одного пакета.
Эти потоки будут иметь ограниченные поля DPI, поскольку маркировка приложений
будет применяться только к одному пакету, и только если данные этого пакета
содержит достаточно информации для маркировки. Потоки не будут агрегироваться
информация по пакетам. Общее количество потоков может быть довольно
большой, но размер хранилища будет меньше, чем для захвата пакетов.
Преимущество этого формата в том, что он сохраняет попакетный объем и
информация о времени. Эта информация может быть полезна в различных
анализы, в том числе:

  • Идентификация скрытых каналов синхронизации: генерация однопакетного потока
    записи, а затем проверить время прибытия между пакетами для потоков с общими
    хэши ключей потока. Если пакеты манипулируются для сигнализации,
    статистическое распределение этих времен должно быть бимодальным (поскольку
    каналы часто отправляют двоичные значения). Если такой трафик повторяется между
    одни и те же конечные точки, вполне может использоваться скрытый канал синхронизации.
  • Характеристика туннелированного или зашифрованного трафика: генерировать оба
    однопакетные и обычные записи потоков, затем используйте приложение
    маркировка в обычных записях потока для идентификации туннелирования
    протоколы. Вычислить хэш ключа потока из обычного потока
    записи для предполагаемого туннелирования, а также для однопакетного потока
    записи. Сопоставьте хэши ключей потока, затем используйте поток с одним пакетом
    записи для проверки объемов байтов для каждого пакета и прибытия между пакетами
    время, которое можно использовать для характеристики трафика как интерактивного,
    автономный трафик, передача данных или поддерживающий трафик.