可木的专栏

NetFlow是一种数据交换方式。Netflow提供网络流量的会话级视图，记录下每个TCP/IP事务的信息。也许它不能象tcpdump那样提供网络流量的完整记录，但是当汇集起来时，它更加易于管理和易读。Netflow由Cisco创造。 工作原理：NetFlow利用标准的交换模式处理数据流的第一个IP包数据，生成NetFlow 缓存，随后同样的数据基于缓存信息在同一个数据流中进行传输，不再匹

异常流量的数据包类型1、TCP SYN flood（40字节）　　11.*.64.3|2.*.38.180|64821|as10|5|4|1013|18|6|1|40|1　　从NetFlow的采集数据可以看出，此异常流量的典型特征是数据包协议类型为6（TCP），数据流大小为40字节（通常为TCP的SYN连接请求）。 2、ICMP flood　　2.*.33.1|1.*.97

1.1 IPFIX技术概况     基于流的技术被越来越广泛地用于刻画网络传输流，它在设置QoS 策略、部署应用和进行容量规划上都有着巨大的价值。但是，网络管理员却缺少一种输出传输流的标准格式。　　IPFIX 全称为IP Flow Information Export，即IP数据流信息输出，它是由IETF公布的用于网络中的流信息测量的标准协议。该协议主要在于：　　l 统一 IP数据