本文介绍了NetFlow这一基于流的流量分析技术,它是轻量级工具,读取报文中重要字段,不属于全流量分析。阐述了NetFlow流记录的主要信息、功能及各字段含义,还列举了常见协议号对应关系,重点分析了SYN Flood、UDP Flood等常见网络攻击流量的特征。
NetFlow是基于流的流量分析技术,其中每条流主要包含以下字段:源IP地址、目的IP地址、源端口号、目的端口号、IP协议号、服务类型、TCP标记、字节数、接口号等。NetFlow是一个轻量级的分析工具,他只读取了报文中的一些重要字段不包含原始数据,并不属于全流量分析。
NetFlow网络异常流量分析
NetFlow流记录的主要信息和功能:
- who:源IP地址
- when:开始时间、结束时间
- where:源IP地址、源端口号、目标IP地址、目标端口号(访问路径)
- what:协议类型、目标IP地址、目标端口(什么应用)
- why:基线、阈值、特征(是否正常)
- how:流量大小、数据包数量(访问情况)
一个NetFlow流定义为在一个源IP地址和目标IP地址间传输的单向数据包流,且所有数据包都具有共同的传输层源、目的端口号。
每一条NetFlow流中各字段的含义:
源地址|目的地址|源自治域|目的自治域|流入接口号|流出接口号|源端口|目的端口|协议类型|包数量|字节数|流数量
在IP包头首部中有8个bit的协议号,用于指明IP的上层协议。
常见协议名称和协议号对应关系
| 协议号 | 协议 |
|---|---|
| 1 | ICMP |
| 2 | IGMP |
| 6 | TCP |
| 17 | UDP |
常见的网络攻击流量
- SYN Flood攻击
SYN Flood攻击是通过半开的TCP连接,占用系统资源,使合法用户被排斥而不能建立正常的TCP连接;在该攻击中多个伪造的源IP同时向一个目的IP发起SYN Flood攻击(协议类型是6)。
192.168.*.*|60.18.*.*|Others|64851|3|2|10000|10000|6|1|40|1
192.168.*.*|60.18.*.*|Others|64851|3|2|3330|10000|6|1|40|1- UDP Flood攻击
该攻击中有多个伪造的源IP同时向一个目的IP发起UDF Flood攻击(协议类型为17)。
192.168.*.*|60.18.*.*|Others|64851|3|2|10000|10000|17|1|40|1
192.168.*.*|60.18.*.*|Others|64851|3|2|3330|10000|17|1|40|1- ICMP Flood攻击
该攻击中ICMP的协议号为1,无源、目的端口号。
192.168.*.*|60.18.*.*|Others|64851|3|2|0|0|1|1|40|1
192.168.*.*|60.18.*.*|Others|64851|3|2|0|0|1|1|40|1- DNS Flood攻击
该攻击中DNS占用TCP53号端口,在区域传输时使用TCP协议,其他时候使用UDP协议。
192.168.*.*|60.18.*.*|Others|64851|3|2|3227|53|6|1|40|1
192.168.*.*|60.18.*.*|Others|64851|3|2|3330|53|6|1|40|1- 病毒攻击445端口
该攻击中同一个IP攻击不同IP的445端口,该IP意思感染病毒。
192.168.*.*|60.18.*.*|Others|64851|3|2|3227|445|6|1|40|1
192.168.*.*|60.18.*.*|Others|64851|3|2|3330|445|6|1|40|1
扫一扫
3522
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
