实用教程：使用Netflow分析网络异常流量

随着各种网络应用迅速增加，由此带来了网络流量的激增。在这些流量中，网络用户的上网行为如何管理?各种类型的流量如何分布?在这种情况下，可以使用NetFlow这一有效工具以满足对网络流量管理的需求。

NetFlow最初是由Cisco开发的，由于使用广泛，目前很多厂家都可以实现，如：Juniper、Extreme、Foundry、H3C等。Cisco的NetFlow也有多种版本，如V5、V7、V8、V9。目前NetFlow V5是主流。因此本文主要针对NetFlow V5，该版本数据包中的基本元素包含哪些内容呢?首先从Flow讲起，一个IP数据包的Flow至少定义了下面7个关键元素：

源IP地址;

目的IP地址;

源端口号;

目的端口号;

第三层协议的类型;

TOS字段;

网络设备输入/输出的逻辑端口(if index)

以上7个字段定义了一个基本的Flow信息。 Netflow就是利用分析IP数据包的上述7种属性，快速区分网络中传送的各种类型的业务数据流。

1. Cache管理

在NetFlow中有两个关键组件：

(1) NetFlow Cache，主要描述流缓存(或者说源数据)如何存放在Cache中。

NetFlow缓存管理机制中包含一系列高度精细化算法，能够有效地判断一个报文是属于已存在Flow的一部分还是应该在缓存中产生一条新的Flow。这些算法也能动态更新缓存中Flow的信息，并且判断哪些Flow应该到期终止。

(2) NetFlow Export，数据流的输出机制，主要描述了数据流是如何输出并被分析器接收的。

首先了解NetFlow Cache(缓存机制)。当缓存中的Flow到期后，就产生一个将Flow输出的动作。将超时的Flow信息以数据报文的方式输出，叫做“NetFlow Export”，这些输出的报文包含30条以上的Flow信息。这些NetFlow信息一般是无法识别的，需由专用收集器(Flow Collector)采集到并做出进一步分析，这些Flow Collector能够识别NetFlow的特殊格式。

2.输出格式

NetFlow的输出报文包含报头和一系列的Flow流，报头包含系列号、记录数、系统时间等，Flow流包含具体内容，如IP地址、端口、路由信息等。各个版本的NetFlow格式都相同，且NetFlow采用UDP报文，这更有利于大流量情况下的数据报文传输。换句话说，在路由器，防火墙等网络设备中如要使用NetFlow就不能禁用UDP端口，否则无法接收设备传递的信息。

3 .抽样机制

在Netflow的实际应用中，它不是时刻都把数据包抓取过来，而是采用抽样的机制，通过使用抽样技术可以降低路由器的CPU利用率，减少Flow的输出量，但仍然可以监测到大多数的流量信息。当我们不需要了解网络流量的每个Flow的具体细节的时候，抽样就成了比较好的选择。但流量计费系统采用NetFlow会造成误差，使得NetFlow输出有时不能准确反映流量的实际情况。这时如果你的流量计费系统选用Netflow就不太合适了。

4.性能影响

使用任何一种技术作为工程师最应该关注它的性能问题。由于在设备缓存中Flow的生成，需要消耗系统资源同样，将Flow格式化成特定的输出报文并将报文输出，也是要消耗系统资源，因此在设备上使用NetFlow时，肯定就会影响设备性能。由于高端Cisco设备(如6500、7600系列等)都是通过ASIC硬件处理数据包，所以占用10%～20%利用率均属正常。注意，在使用中CPU的利用率会随着缓存中Flow条目的增大而增加，所以在高负载情况下，一定要慎用Netflow功能。

5.在蠕虫病毒监测中的举例

前些年Code Red、SQL Slammer、冲击波、振荡波等蠕虫病毒的相继爆发，不但对用户主机造成影响，而且对网络的正常运行也构成了的危害，因为这些病毒具有扫描网络，主动传播病毒的能力，会大量占用网络带宽或网络设备系统资源。这些蠕虫在网络行为上都有某些共同特征，我们可以利用NetFlow的信息筛选出这些数据包，从而快速发现