NetFlow學習總結

NetFlow學習總結

標籤： netflow

---

由於工作需要，對NetFlow做了一些學習和調研，並總結成文檔以供學習分享。

---

背景：隨着系統的升級與漏洞的修補，入侵主機進而進行破壞的病毒攻擊方式在攻擊中所佔比例逐漸減少，這些攻擊轉而改爲惡意的消耗網絡有限的資源或佔用系統，進而破壞系統對外提供服務的能力；但傳統的系統升級無法檢測並預防此類攻擊。

針對此類攻擊，業界提出了以檢測網絡數據流的方法來判斷網絡異常和攻擊：藉助實時的檢測網絡數據流信息，通過與歷史記錄模式匹配（判斷是否正常）、或者與異常模式匹配（判斷是否被攻擊），讓網絡管理人員可以實時查看全網的狀態，檢測網絡性能可能出現的瓶頸，並進行自動處理或告警顯示，以保證網絡高效、可靠地運轉。

1、什麼是NetFlow

NetFlow是由Cisco創造的一種流量輪廓監控技術，簡單來說就是一種數據交換方式。Netflow提供網絡流量的會話級視圖，記錄下每個TCP/IP事務的信息，易於管理和易讀。

2、NetFlow版本

1. Netflow V1：爲Netflow技術的第一個實用版本。在如今的實際網絡環境中已經不建議使用。
2. Netflow V5：增加了對數據流BGP AS信息的支持。
3. Netflow V7：思科Catalyst交換機設備支持的一個Netflow版本，需要利用交換機的MLS或CEF處理引擎。
4. Netflow V8：增加了網絡設備對Netflow統計數據進行自動匯聚的功能，可以大大降低對數據輸出的帶寬需求。
5. Netflow V9：一種全新的靈活和可擴展的Netflow數據輸出格式，採用了基於模板（Template）的統計數據輸出。方便添加需要輸出的數據域和支持多種Netflow新功能，如Multicast Netflow，MPLS Aware Netflow，BGP Next Hop V9，Netflow for IPv6等。

3、NetFlow用途

利用Netflow技術可以監測網絡上的IP Flow信息

IP Flow信息，可以回答用戶的下面問題（5W1H）：

• who：源IP地址
• when：開始時間、結束時間
• where：從哪：From（源IP，源端口）、到哪：To（目的IP，目的端口）
• what：協議類型，目標IP，目標端口
• how：流量大小，流量包數
• why：基線，閾值，特徵

採集到的netflow流量信息可以幫助進行：

• 網絡行爲分析
• 業務訪問情況分析
• 網絡規劃
• 流量計費
• 病毒檢測
• 等等

4、NetFlow工作原理

首先先創建一個緩衝流NetFlow cache

NetFlow利用標準的交換模式處理數據流的第一個IP包數據，生成NetFlow 緩存

隨後進行兩大職能：

1. 同樣的流，直接從緩存讀，不走路由表
2. 緩存同時也進行了統計

5、NetFlow七元組

NetFlow使用七元組來區分每一個Flow，包括以下字段：

• 源IP地址
• 源端口號
• 目的IP地址
• 目的端口號
• 協議類
• 服務種類
• 輸入接口

七元組的實際含義：

• 如果兩段流量，其七元組都相同，就認爲是一個流。
• 如果兩段流量，其七元組至少有一個不同，就是不同的流。

6、NetFlow數據格式

一個NetFlow流定義爲在一個源IP地址和目的IP地址間傳輸的單向數據包流，且所有數據包具有共同的傳輸層源、目的端口號。

基於NFC採集的網絡流量數據如下：

61...68|61...195|64917|Others|9|13|4528|

數據中各字段的含義如下：

源地址|目的地址|源自治域|目的自治域|流入接口號|流出接口號|源端口|目的端口|協議類型|包數量|字節數|流數量

7、NetFlow優點

1. NetFlow採集實施成本較低、安裝方便。
2. NetFlow的非常適用於大型網絡。
3. NetFlow記錄的流包含了豐富的信息，非常適合於網絡性能分析。