NetFlow流量分析

大家好，又见面了，我是你们的朋友全栈君。

NetFlow是基于流的流量分析技术，其中每条流主要包含以下字段：源IP地址、目的IP地址、源端口号、目的端口号、IP协议号、服务类型、TCP标记、字节数、接口号等。NetFlow是一个轻量级的分析工具，他只读取了报文中的一些重要字段不包含原始数据，并不属于全流量分析。

NetFlow网络异常流量分析

NetFlow流记录的主要信息和功能：

• who：源IP地址
• when：开始时间、结束时间
• where：源IP地址、源端口号、目标IP地址、目标端口号（访问路径）
• what：协议类型、目标IP地址、目标端口（什么应用）
• why：基线、阈值、特征（是否正常）
• how：流量大小、数据包数量（访问情况）

一个NetFlow流定义为在一个源IP地址和目标IP地址间传输的单向数据包流，且所有数据包都具有共同的传输层源、目的端口号。 每一条NetFlow流中各字段的含义： 源地址|目的地址|源自治域|目的自治域|流入接口号|流出接口号|源端口|目的端口|协议类型|包数量|字节数|流数量

在IP包头首部中有8个bit的协议号，用于指明IP的上层协议。

常见协议名称和协议号对应关系

常见的网络攻击流量

• SYN Flood攻击 SYN Flood攻击是通过半开的TCP连接，占用系统资源，使合法用户被排斥而不能建立正常的TCP连接；在该攻击中多个伪造的源IP同时向一个目的IP发起SYN Flood攻击（协议类型是6）。 192.168.*.*|60.18.*.*|Others|64851|3|2|10000|10000|6|1|40|1 192.168.*.*|60.18.*.*|Others|64851|3|2|3330|10000|6|1|40|1
• UDP Flood攻击 该攻击中有多个伪造的源IP同时向一个目的IP发起UDF Flood攻击（协议类型为17）。 192.168.*.*|60.18.*.*|Others|64851|3|2|10000|10000|17|1|40|1 192.168.*.*|60.18.*.*|Others|64851|3|2|3330|10000|17|1|40|1
• ICMP Flood攻击 该攻击中ICMP的协议号为1，无源、目的端口号。 192.168.*.*|60.18.*.*|Others|64851|3|2|0|0|1|1|40|1 192.168.*.*|60.18.*.*|Others|64851|3|2|0|0|1|1|40|1
• DNS Flood攻击 该攻击中DNS占用TCP53号端口，在区域传输时使用TCP协议，其他时候使用UDP协议。 192.168.*.*|60.18.*.*|Others|64851|3|2|3227|53|6|1|40|1 192.168.*.*|60.18.*.*|Others|64851|3|2|3330|53|6|1|40|1
• 病毒攻击445端口 该攻击中同一个IP攻击不同IP的445端口，该IP意思感染病毒。 192.168.*.*|60.18.*.*|Others|64851|3|2|3227|445|6|1|40|1 192.168.*.*|60.18.*.*|Others|64851|3|2|3330|445|6|1|40|1

发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/138814.html原文链接：https://javaforall.cn