netflow

最新推荐文章于 2023-03-02 14:46:55 发布
最新推荐文章于 2023-03-02 14:46:55 发布
阅读量2k 收藏 3
点赞数
分类专栏: network
  Cisco的交换机和路由器广泛支持的一种流量捕获工具NetFlow,已经在流量分析、计费分析以及网络安全防护上被广泛应用,NetFlow格式的数据能够被很多应用软件分析,下面将所学的NetFlow知识陈列如下。

     1.  什么是NetFow?

  • 1996年,Cisco系统公司的Darren Kerr和Barry Bruins开发了一种流量轮廓监控技术。
  • NetFlow是一款用于分析网络数据包信息的工具包。
  • NetFlow技术可以监测网络上的IP flow信息,采集到的流量信息可以帮助进行网络规划,网络管理,流量计费和病毒检测等。

     2.   NetFlow的版本

  • NetFlow V1:为NetFlow技术的第一个实用版本,在如今的实际网络环境中已经不建议使用。
  • NetFlow V5:增加了对数据流BGP AS信息的支持,是当前主要的实际应用版本。
  • NetFlow V7:思科Catalyst交换机设备支持的一个版本,需要利用交换机的MLS或CEF处理引擎。
  • NetFlow V8:增加了网络设备对NetFlow统计数据进行自动汇聚的功能,大大降低对数据输出的带宽需求。
  • NetFlow V9:一种全新的灵活和可扩展的NetFlow数据输出格式,采用了基于模板的统计数据输出,方便添加需要输出的数据域和支持多种Netflow新功能。

     在介绍NetFlow具体格式之前,先介绍IP Flow的概念。

      3.  IP Flow

     定义:一条在源和目的之间的单方向的流,这里的源和目的既包括了IP层的源IP和目的IP,也包括TCP层的源端口和目的端口。
     一个IP Flow至少定义了下面 七个关键元素
  • IP source address
  • IP destination address
  • Source port
  • Destination port
  • Layer 3 protocol type
  • Class of Service
  • Router or switch interface
    以上七个字段定义了唯一的一个IP Flow,如果有多条IP Flow,只要其中任何一个字段内容不同,就被看成一条新的IP Flow。
    除此之外,一个IP Flow或许还包含有其他的字段,这取决于NetFlow的版本,不同版本的NetFlow格式不一样。
     4.  NetFlow Cache
    NetFlow Cache是NetFlow两个关键组件之一,用于缓存IP Flow。
    NetFlow Cache中包含一系列高度精细化算法,能够有效的判断一个报文是属于已存在IP Flow的一部分,还是应该在缓存中产生一条新的IP Flow。这些算法也能动态更新缓存中IP Flow的信息,并且能够判断哪些IP Flow应该到期终止。
    依据四个规则判断IP Flow是否到期:
  • 当TCP连接完成(FIN)或被重置(RST)时,Flow将终止。
  • 当缓存满时,多余的Flow要被删除。
  • 如果Flow在一段时间内均为idle,则该Flow将超时并从缓存中移除。
  • 长时间存在的Flow也将从缓存中移除,缺省情况下Flow的生存时间不允许超过30分钟。
    路由器每秒检查缓存一次,当Flow的不活动时间超过15秒或者Flow的活动时间超过30分钟,都将造成Flow在Cache中超时,具体时间可以依情况配置。
     5.  NetFlow Expert
    NetFlow Expert是NetFlow的另一个关键组件,描述IP Flow如何输出。
    缓存中的Flow到期后,产生一个将Flow输出的动作。Flow以数据报文的方式输出,报文包含30条以上的Flow信息。这些Flow信息普通人是没法识别的,由Flow Collector采集并做进一步处理。
    不同版本的NetFlow输出报文的格式也不同。
     NetFlow的输出报文包含报头和一系列Flow记录,报头包含版本号、流记录数、系统时间等,Flow记录包含流信息,如:IP地址、端口、路由信息等。典型的报文格式如下所示。
 
IP header
 
UDP header
NetFlow header
Flow record
Flow record
……
Flow record
Flow record

    NetFlow V5的Flow record字段如下所示:

 NetFlow V5的Flow record格式如下所示:

     6.  NetFlow Sampling
    使用采样技术可以降低路由器的CPU利用率,减少Flow的输出量。
    Cisco平台使用三种采样技术:
  • 确定性采样:每隔N个包抽取一个,N可自定义。
  • 基于时间的采样:每N微秒抽取一个包。
  • 随机采样:在N个包中随机抽取一个包,N可自定义。(被认为是包采样中最好的技术)
    对需要精确分析的流量,如计费流量,最好采用Full Sampling的方式来避免误差。
     7.  NetFlow Infrastructure
     NetFlow的基础架构如下图所示:

     8.  NetFlow Application
     >NetFlow在蠕虫病毒监测上的应用
  • CodeRed
  • Nimda
  • SQL Slammer
     >NetFlow在网络攻击防范上的应用
  • ICMP攻击
  • SYN Flooding
realmeh
关注
专栏目录
NetFlow学习笔记
可木的专栏
03-19 4万+
NetFlow是一种数据交换方式。Netflow提供网络流量的会话级视图,记录下每个TCP/IP事务的信息。也许它不能象tcpdump那样提供网络流量的完整记录,但是当汇集起来时,它更加易于管理和易读。Netflow由Cisco创造。   工作原理:NetFlow利用标准的交换模式处理数据流的第一个IP包数据,生成NetFlow 缓存,随后同样的数据基于缓存信息在同一个数据流中进行传输,不再匹
Netflow数据分析
07-02
Netflow数据分析
NetFlow解析
weixin_30342209的博客
07-25 1166
Cisco的交换机和路由器广泛支持的一种流量捕获工具NetFlow,已经在流量分析、计费分析以及网络安全防护上被广泛应用,NetFlow格式的数据能够被很多应用软件分析,下面将所学的NetFlow知识陈列如下。 1. 什么是NetFow? 1996年,Cisco系统公司的Darren Kerr和BarryBruins开发了一种流量轮廓监控技术。 ...
netflow报文格式与数据处理流程分析_洞察日志之美 云智慧全面升级智能日志分析平台...
weixin_39568706的博客
11-22 525
随着业务系统的日趋复杂化,日志显现出数量庞大、无固定模式、不易读懂等特点。日志数据是运维监控中主要的数据源,记录了从业务、中间件、系统等全链路信息,可以有效监控IT系统各个层面,从而快速诊断系统故障,洞察系统运行状况,对于开发、运维、测试和审计等各个环节工作都有非常重要的作用。日志数据,企业数据资产的一座金矿日志数据是系统所指定对象的某些操作和其操作结果按时间有序的集合,每个日志文件由日...
netflow v5报文
09-04
netflow v5真实报文,可以用wireshark软件打开
使用python脚本解析netflow抓包数据到csv
JosenChina的博客
05-13 2233
python解析netflow数据到csv 使用linux自带的tcpdump抓包 将抓好的包导入wireshark 将数据导出为json文件 解析数据到csv
Netflow v5 Collector-开源
05-03
Netflow v5 Collector是一款专为网络流量分析设计的开源应用程序,它主要针对Cisco路由器和三层交换机上的Netflow数据进行采集、展示和管理。Netflow技术是由Cisco开发的一种网络监控和流量分析工具,用于帮助网络...
NetFlow Analyzer.7z
06-30
NetFlow Analyzer是一款强大的网络流量分析工具,主要用于帮助企业或个人用户监测、分析和管理网络带宽使用情况。在本文中,我们将深入探讨NetFlow技术、NetFlow Analyzer的特点以及如何利用其提供的2077年有效期的...
JNFA - Java NetFlow Analyzer-开源
04-18
Java NetFlow Analyzer(JNFA)是一款开源的网络流量分析工具,专为处理NetFlow数据而设计。NetFlow是由Cisco公司开发的一种网络监控协议,用于收集网络设备上的流量信息,帮助网络管理员监控、分析和诊断网络性能...
流量监控和分析 NetFlow Analyzer 12.5.0 x64 中文多语免费版.zip
05-09
ManageEngine NetFlow Analyzer 网络流量监控软件是专门用于监控网络活动,帮助用户了解流量构成、协议分布和用户活动的软件。与传统基于SNMP、网络探针、实时抓包分析方法不同,它利用 Flow 技术来收集网络中有关...
netflow协议详解
06-11
netflow协议详解,内部包含netflow协议分析,netflow数据包分析等
netflow 协议介绍
11-30
netflow 协议介绍
graylog-plugin-netflow:[已弃用] Graylog NetFlow插件
02-04
该插件提供了NetFlow UDP输入,以充当从Flow导出程序接收数据的Flow收集器。 每个收到的流将被转换为Graylog消息。 所需的Graylog版本: 2.3.0及更高版本 支持的NetFlow版本 插件版本现在支持NetFlow V9。 它可以...
netflow数据包格式
红梅花儿开
07-09 6059
NetFlow以UDP数据报(datagram)的形式,采用下面两种格式的中的一种来输出信息流:“版本1”(version 1)的格式是最初发布的格式;“版本5”(version 5)格式是后来的一种加强格式,它增加了边界网关协议(BGP-Border Gateway Protocol)的AS信息和信息流的序列号。而版本2到版本4并没有发布。在版本1和版本5格式中,数据报由一个头标信息、一个或
NETFLOW
ikaros_fire的博客
10-22 2794
Netflow是思科免费提供使用的一款流量分析软件,具体内容十分详细, 在网络发生故障时,一般在流量比较大的时候,使用Netflow可以迅速的定位到流量大的故障点,具体到源IP,目的IP,源端口,目的端口和应用,非常直观。 Netflow可以加入多个节点进去,前提是这多个节点必须与Netflow服务器的IP互通,命令很简单。 如下: 第一步:接口下两条命令 interface f0/0 ip...
浅谈Netflow技术
最新发布
weixin_42486226的博客
03-02 1254
简单认识Netflow技术,它能带来的不仅仅是流量分析
netflow 数据格式
addseconder的专栏
09-26 3637
NetFlow数据格式 NetFlow以UDP数据报(datagram)的形式,采用下面两种格式的中的一种来输出信息流:“版本1”(version 1)的格式是最初发布的格式;“版本5”(version 5)格式是后来的一种加强格式,它增加了边界网关协议(BGP-Border Gateway Protocol)的AS信息和信息流的序列号。而版本2到版本4并没有发布。在版本1和版本5
入门数据分析师
qq_40286307的博客
06-23 470
数据分析师 “数据分析师是专门从事行业数据搜集、整理、分析,并依据数据做出行业研究、评估和预测的专业人员” 数据分析 = 分析工具 + 分析思维 发展方向 业务线: 适合对事物感到好奇并深入研究,思维发散并且能收敛的,喜欢展示自我,逻辑思维较强的人。 研发线: 适合写代码的人,喜欢安静独处,计算机功底好,天生的程序员基因。 算法线: 适合做研究的人,数学功底好,因为很多时候要看各种国外论文。 各种数据分析工具的使用场...
netflow百度百科
weixin_33779515的博客
07-29 473
netflow 百科名片 NetFlow是一种数据交换方式,其工作原理是:NetFlow利用标准的交换模式处理数据流的第一个IP包数据,生成NetFlow 缓存,随后同样的数据基于缓存信息在同一个数据流中进行传输,不再匹配相关的访问控制等策略,NetFlow缓存同时包含了随后数据流的统计信息。 目录[隐藏] 简介 概念 数据采集 采...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值