本文介绍了NetFlow这一基于流的流量分析技术,它是轻量级工具,读取报文中重要字段,不属于全流量分析。阐述了NetFlow流记录的主要信息、功能及各字段含义,还列举了常见协议号对应关系,重点分析了SYN Flood、UDP Flood等常见网络攻击流量的特征。
NetFlow是基于流的流量分析技术,其中每条流主要包含以下字段:源IP地址、目的IP地址、源端口号、目的端口号、IP协议号、服务类型、TCP标记、字节数、接口号等。NetFlow是一个轻量级的分析工具,他只读取了报文中的一些重要字段不包含原始数据,并不属于全流量分析。
NetFlow网络异常流量分析
NetFlow流记录的主要信息和功能:
- who:源IP地址
- when:开始时间、结束时间
- where:源IP地址、源端口号、目标IP地址、目标端口号(访问路径)
- what:协议类型、目标IP地址、目标端口(什么应用)
- why:基线、阈值、特征(是否正常)
- how:流量大小、数据包数量(访问情况)
一个NetFlow流定义为在一个源IP地址和目标IP地址间传输的单向数据包流,且所有数据包都具有共同的传输层源、目的端口号。
每一条NetFlow流中各字段的含义:
源地址|目的地址|源自治域|目的自治域|流入接口号|流出接口号|源端口|目的端口|协议类型|包数量|字节数|流数量
在IP包头首部中有8个bit的协议号,用于指明IP的上层协议。
常见协议名称和协议号对应关系
| 协议号 | 协议 |
|---|---|
| 1 | ICMP |
| 2 | IGMP |
| 6 | TCP |
| 17 | UD |
最低0.47元/天 解锁文章
扫一扫
27
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
