NetFlow學習總結
標籤: netflow
由於工作需要,對NetFlow做了一些學習和調研,並總結成文檔以供學習分享。
背景:隨着系統的升級與漏洞的修補,入侵主機進而進行破壞的病毒攻擊方式在攻擊中所佔比例逐漸減少,這些攻擊轉而改爲惡意的消耗網絡有限的資源或佔用系統,進而破壞系統對外提供服務的能力;但傳統的系統升級無法檢測並預防此類攻擊。
針對此類攻擊,業界提出了以檢測網絡數據流的方法來判斷網絡異常和攻擊:藉助實時的檢測網絡數據流信息,通過與歷史記錄模式匹配(判斷是否正常)、或者與異常模式匹配(判斷是否被攻擊),讓網絡管理人員可以實時查看全網的狀態,檢測網絡性能可能出現的瓶頸,並進行自動處理或告警顯示,以保證網絡高效、可靠地運轉。
1、什麼是NetFlow
NetFlow是由Cisco創造的一種流量輪廓監控技術,簡單來說就是一種數據交換方式。Netflow提供網絡流量的會話級視圖,記錄下每個TCP/IP事務的信息,易於管理和易讀。
2、NetFlow版本
- Netflow V1:爲Netflow技術的第一個實用版本。在如今的實際網絡環境中已經不建議使用。
- Netflow V5:增加了對數據流BGP AS信息的支持。
- Netflow V7:思科Catalyst交換機設備支持的一個Netflow版本,需要利用交換機的MLS或CEF處理引擎。
- Netflow V8:增加了網絡設備對Netflow統計數據進行自動匯聚的功能,可以大大降低對數據輸出的帶寬需求。
- Netflow V9:一種全新的靈活和可擴展的Netflow數據輸出格式,採用了基於模板(Template)的統計數據輸出。方便添加需要輸出的數據域和支持多種Netflow新功能,如Multicast Netflow,MPLS Aware Netflow,BGP Next Hop V9,Netflow for IPv6等。
3、NetFlow用途
利用Netflow技術可以監測網絡上的IP Flow信息
IP Flow信息,可以回答用戶的下面問題(5W1H):
- who:源IP地址
- when:開始時間、結束時間
- where:從哪:From(源IP,源端口)、到哪:To(目的IP,目的端口)
- what:協議類型,目標IP,目標端口
- how:流量大小,流量包數
- why:基線,閾值,特徵
採集到的netflow流量信息可以幫助進行:
- 網絡行爲分析
- 業務訪問情況分析
- 網絡規劃
- 流量計費
- 病毒檢測
- 等等
4、NetFlow工作原理
首先先創建一個緩衝流NetFlow cache
NetFlow利用標準的交換模式處理數據流的第一個IP包數據,生成NetFlow 緩存
隨後進行兩大職能:
- 同樣的流,直接從緩存讀,不走路由表
- 緩存同時也進行了統計
5、NetFlow七元組
NetFlow使用七元組來區分每一個Flow,包括以下字段:
- 源IP地址
- 源端口號
- 目的IP地址
- 目的端口號
- 協議類
- 服務種類
- 輸入接口
七元組的實際含義:
- 如果兩段流量,其七元組都相同,就認爲是一個流。
- 如果兩段流量,其七元組至少有一個不同,就是不同的流。
6、NetFlow數據格式
一個NetFlow流定義爲在一個源IP地址和目的IP地址間傳輸的單向數據包流,且所有數據包具有共同的傳輸層源、目的端口號。
基於NFC採集的網絡流量數據如下:
61...68|61...195|64917|Others|9|13|4528|
數據中各字段的含義如下:
源地址|目的地址|源自治域|目的自治域|流入接口號|流出接口號|源端口|目的端口|協議類型|包數量|字節數|流數量
7、NetFlow優點
- NetFlow採集實施成本較低、安裝方便。
- NetFlow的非常適用於大型網絡。
- NetFlow記錄的流包含了豐富的信息,非常適合於網絡性能分析。