netflow原理
Netflow 网络异常流量的监测原理
Netflow 网络异常流量的监测原理Netflow 对网络数据的采集具有大覆盖小成本的明显优势,在Netflow在安全领域的应用与传统的DPI的方式和系统扫描的方式,却有着明显的不同。
使得这类产品在定位和实现的功能上和传统大IDS/IPS也不一样。
Network Behavior Anomaly Detection(网络行为异常检测)是NetFlow安全的原理基础。
Netflow流量数据只能分析到协议的第四层,只能够分析到IP 地址、协议和端口号,但是受限制于无法进行包的内容分析,这样就无法得到网络中一些病毒、木马行为的报文特征。
它是从网络流量的行为特征的统计数据进行网络异常的判定的。
网络行为的异常很大一方面是对网络基线数据的违背,反应到一个监控网段范围,往往呈现的就是网络流量的激增和突减。
而在针对网络单个IP的监测的时候分析的是这单个IP来源或者目的IP流量的行为模式,TCP的流量模型等等来进行判断。
GenieATM对网络异常流量的NBAD的检测具体如下面三点:1.1流量异常(Traffic Anomaly) 侦测流量异常模型是将基线模板(Baseline Template)应用于使用者所设定的监测范围内(因特网、互联自治域、子网、路由器、服务器、interface、监测条件等多种模型),流量异常侦测模型主要凭借系统实时对网络中正常流量形成流量基线,再根据网络正常的网络流量模型来动态分析网络中的异常流量,以期最早时间发现网络中流量的激增和突减。
针对不同的网络监测范围,用户可使用定义不同的流量基线模板进行监控。
系统支持自动建立及更新流量基线,也允许管理员手动设定和调整基线的参数和取值期间,并排除某些受异常流量攻击的特定日列入计算,以免影响基线的准确性。
通过参数的设定,系统能根据对网络效能的影响,将网络异常流量的严重性分为多个等级,包括:正常、中度异常(yellow)、高度异常(red),并允许使用者透过参数设定,对每个检测范围设定合适的参数。
netflow analyzer原理
netflow analyzer原理NetFlow Analyzer是一种用于网络流量分析的工具,可以帮助网络管理员监控和管理网络流量。
它的原理是通过收集和分析网络设备上的NetFlow数据,提供实时的流量统计和分析报告。
NetFlow是一种由思科开发的网络流量记录和分析技术,它可以在网络设备上捕获流经设备的数据包,并将相关信息记录下来。
这些信息包括源IP地址、目的IP地址、源端口、目的端口、协议类型、数据包数量、数据包大小等。
NetFlow Analyzer通过解析这些信息,可以得到关于网络流量的详细信息,包括流量的来源、目的地、协议、端口等。
NetFlow Analyzer的工作原理可以分为三个主要步骤:数据收集、数据分析和报告生成。
首先,它通过与网络设备进行通信,收集和获取NetFlow数据。
这些数据可以通过网络设备上的NetFlow功能或者通过配置路由器、交换机等设备来获取。
一旦数据被获取到,NetFlow Analyzer会对这些数据进行解析和分析。
在数据分析阶段,NetFlow Analyzer会对收集到的NetFlow数据进行处理和分析。
它会根据设定的规则和算法,对流量数据进行分类和统计。
例如,可以根据源IP地址或目的IP地址对流量进行分类,统计每个IP地址的流量量;也可以根据端口号或协议类型对流量进行分类,统计每个端口或协议的流量量。
通过对这些数据的分析,可以得到网络流量的整体情况和特征。
在报告生成阶段,NetFlow Analyzer会根据分析得到的结果生成报告。
报告可以以图表、表格等形式展示,并提供详细的统计数据和分析结果。
这些报告可以帮助网络管理员了解网络的使用情况,发现异常流量和网络瓶颈,并采取相应的措施进行优化和改进。
NetFlow Analyzer的原理和功能使其成为网络管理和安全监控的重要工具。
通过实时监控网络流量,可以及时发现和解决网络问题,提高网络的性能和可靠性。
s03-流量分析技术-netflow
3-19
Flow tools
IP网络流量分析
3-20
Arbor
• 支持NetFlow V5,V7,V9,probe
• Peakflow SP(最新的arbor主页无法看到DoS和
Traffic,合并了?)
– Peakflow DoS:主要侧重于网络内的异常行为 – Peakflow Traffic:主要侧重于流量和路由行为
期的flow记录以UDP方式导出
IP网络流量分析
3-5
NetFlow原理-2
IP网络流量分析
3-6
支持NetFlow的设备
NE系列
IP网络流量分析
3-7
对于不支持netflow的设备
• • • •
读入流量,生成netflow数据 Nprobe v5/v9/nFlow Probe for IPv4/v6 Packet Size (Bytes): Throughtput (Pkt/sec)
IP网络流量分析
3-29
NetFlow配置-2
• 配置netflow服务器地址和端口号
– config全局状态下: – (config)#ip flow-export destination xxx.xxx.xxx.xxx 55888 – xxx.xxx.xxx.xxx为netflow服务器地址,即运 行netflow版流量监视程序主机的IP地址
IP网络流量分析
3-14
NetFlow实测对比
• CISCO实测
– 某省骨干端口GE口 GSR12416 – CPU前后没有变化2% – 平均入流量在650M,采样 率为500的时候 – 15分钟平均flow条数为 110000万条 – 每秒122条flow – 122*1.4k=171k/sec – 预期:650M的百分之一 6.5兆=6500k
网络流量分析NetFlow协议解析
网络流量分析NetFlow协议解析网络流量分析在网络安全和性能监控中起着重要的作用。
而NetFlow协议作为其中一种流量分析的关键工具,在网络管理领域中被广泛应用。
本文将对NetFlow协议进行详细解析,介绍其原理、功能和应用。
一、NetFlow协议简介NetFlow协议是由思科公司于1996年推出的一种网络流量分析技术。
它能够提供流量统计、流量分析和流量监控等功能。
NetFlow协议通过在路由器和交换机上收集、处理和导出流量数据,为网络管理员提供实时的流量信息和网络性能的评估。
二、NetFlow协议的工作原理NetFlow协议的工作原理可以分为三个阶段:数据收集、数据处理和数据导出。
1. 数据收集在网络中的路由器和交换机上,通过配置使其能够将经过设备的流量数据进行收集。
NetFlow支持两种收集方式:Full Flow和Sampled Flow。
Full Flow是指完整地收集每一个流量数据进行处理;Sampled Flow是指以一定的频率采样流量数据进行处理,减少处理开销。
2. 数据处理收集到的流量数据会经过设备内部的处理引擎进行处理。
处理引擎会提取关键信息,如源IP地址、目的IP地址、源端口、目的端口、协议类型等,并基于这些信息生成流记录。
3. 数据导出处理后的流记录会根据配置的规则进行导出。
导出方式有两种:NetFlow v5和NetFlow v9。
NetFlow v5是早期版本,具有广泛的兼容性;NetFlow v9则是最新版本,支持更多的字段,并且具有灵活的配置能力。
三、NetFlow协议的功能NetFlow协议具有以下几个主要功能:1. 流量统计NetFlow可以对流量进行实时统计,包括流量量、带宽利用率、流量峰值等。
这些统计数据可以帮助网络管理员了解网络的负载情况,有助于进行容量规划和性能优化。
2. 流量分析通过对收集到的流量数据进行分析,NetFlow可以帮助管理员发现网络中的异常情况和潜在安全威胁。
NETFLOW原理及应用
What is flow?
A flow is identified as a unidirectional stream of packets between a given source and destination —both defined by a network-layer IP address and transport-layer source and destination port numbers.
❖ The header contains information such as sequence number, record count and sysuptime. The flow record contains flow information, for example IP addresses, ports, and routing information.
❖ Netflow V7,思科Catalyst交换机设备支持的一个Netflow版本,需要 利用交换机的MLS或CEF处理引擎。
❖ Netflow V8,增加了网络设备对Netflow统计数据进行自动汇聚的功能 (共支持11种数据汇聚模式),可以大大降低对数据输出的带宽需求。 支持IOS12.0(3)T,12.0(3)S,12.1及其后续IOS版本。
value Sent the template regularly (configurable),
because of UDP
NetFlow Version 9 Header Format
Exporting the Version 5 Record Format
NetFlow Version 9 Export Packet Example
NetFlow协议介绍
0x0
input ifIndex:
8
src AS:
0
output ifIndex: 55
dst AS:
321
src port: 12043
src masklen: 20
dst port: 80
dst masklen: 0
pkts:
6
TCP flags: 0x1b
bytes:
680
engine type: 1
Netflow V8,增加了网络设备对Netflow统计数据进行自动汇聚 的功能,可以大大降低对数据输出的带宽需求。
Netflow V9,一种全新的灵活和可扩展的Netflow数据输出格式 ,采用了基于模板(Template)的统计数据输出。方便添加需 要输出的数据域和支持多种Netflow新功能,如 Multicase Netflow,MPLS Aware Netflow,BGP Next Hop V9 ,Netflow 平台支持
Cisco IOS™ 软件 版本支持
11.1CA, 11.1CC 11.2, 11.2P 11.2P 11.3, 11.3T 12.0
支持的 NetFlow 输出版本
v1, v5 v1 v1 v1 v1, v5
12.0T 12.0S 12.0(3)T and later 12.0(3)S and later
源地址 目的地址 源端口 目的端口 协议类型 分组数 字节数 其它...
理解 NetFlow 的关键
基于 Flow 的分析 !
导出的 NetFlow 数据
1. 源地址 2. 目标地址 3. 源端口 4. 目标端口 5. 第 3 层协议 ...........
一个NetFlow流定义为在一 个源IP地址和目的IP地址 间传输的单向数据包流, 且所有数据包具有共同的 传输层源、目的端口号!
Netflow网络流量分析手册
Netflow网络流量分析手册Netflow网络流量分析手册作者:聂晓亮(毛蛋哥)目录一、作者简介 (4)二、为什么会有这本书 (5)三、流量分析原理 (6)(一)原始流量分析方式 (6)(二)Netflow分析方式 (6)四、流量采样 (8)(一)在网络设备上开启Netflow功能 (8)(二)网络设备不支持Netflow (9)1.部署方式 (9)2.安装Fprobe (11)3.启动Fprobe (11)4.镜像流量至Fprobe服务器 (12)5.检测是否收到Netflow数据 (12)五、部署服务器 (13)(一)硬件需求 (13)(二)安装FreeBSD (13)(三)安装Nfsen (14)1.安装apache22 (14)2.安装php5 (14)3.安装nfsen (15)(四)安装PortTracker (15)(五)访问Nfsen (16)六、抓贼攻略 (18)(一)了解网络运行状况 (18)(二)什么协议吞了带宽 (22)(三)抓出罪魁祸首 (25)七、感谢 (30)一、作者简介本书作者聂晓亮,网名毛蛋哥。
2004年毕业于北京联合大学信息工程学院,热爱网络相关知识及摄影,机缘巧合参加了Cisco认证培训,并获得了一些成绩。
本书写于2008年10月,作者目前状态工作较为舒适,故有空闲时间完成此书。
聂晓亮(毛蛋哥)拥有自己的Blog及Wiki空间,其中记录了作者的工作、生活、学习。
作者希望通过此书以及Blog、Wiki同全世界的网络爱好者分享其知识与快乐。
聂晓亮(毛蛋哥)的Blog:聂晓亮(毛蛋哥)的Wiki:欢迎交流:********************二、为什么会有这本书在工作的几年当中,经常有朋友和一些网友问我一些关于流量分析的问题,诸如:●我们局域网怎么这么慢,是不是有人在下BT?●192.168.0.1也没人用,怎么网卡疯狂闪烁,它在做什么?●老板让我查查服务器为什么总是那么大流量,可我不知道从何下手。
NetFlow学习笔记
NetFlow是一种数据交换方式。
Netflow提供网络流量的会话级视图,记录下每个TCP/IP事务的信息。
也许它不能象tcpdump那样提供网络流量的完整记录,但是当汇集起来时,它更加易于管理和易读。
Netflow由Cisco创造。
工作原理:NetFlow利用标准的交换模式处理数据流的第一个IP包数据,生成NetFlow 缓存,随后同样的数据基于缓存信息在同一个数据流中进行传输,不再匹配相关的访问控制等策略,NetFlow缓存同时包含了随后数据流的统计信息。
NetFlow有两个核心的组件:NetFlow缓存,存储IP流信息;NetFlow的数据导出或传输机制,NetFlow利用此机制将数据发送到网络管理采集器。
概念:一个NetFlow流定义为在一个源IP地址和目的IP地址间传输的单向数据包流,且所有数据包具有共同的传输层源、目的端口号。
确定Flow的标识:SIP+DIP+SPORT+DPORT +Layer 3 protocol type + TOS byte() + Router or switch interface数据采集格式NFC(Cisco NetFlow Collector) 可以定制多种NetFlow数据采集格式,下例为NFC2.0采集的一种流量数据实例,本文的分析都基于这种格式。
61.*.*.68|61.*.*.195|64917|Others|9|13|4528|135|6|4|192|1数据中各字段的含义如下:源地址|目的地址|源自治域|目的自治域|流入接口号|流出接口号|源端口|目的端口|协议类型|包数量|字节数|流数量cache缓存空间可配置的Cache维护机制一般情况下Cache空间的占用是与所监控的Flow数量呈正比的,但是当链路中充斥着大量的短连接Session时,Flow表项数量可能会因为没有得到及时释放而过多占用有限的Cache空间。
为此,NetFlow 提供了一种非常复杂、高效的算法以快速定位一个数据包在该Cache中的位置或判断是否应新建表项,并且通过管理员给定的阀值进行各类表项的超时导出,从而及时释放老的表项以容纳新建Flow信息。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1、Natflow原理:
2、输出流信息的格式
3、natflow用途
a)网络监控
b)应用监控
c)用户监控
d)网络规划
e)安全分析
f)记账
3、netflow网络设备的配置和相关参数
Cisco Netflow配置命令
a)ip route-cache flow 在接口上配置Netflow采样。
b)ip flow-export destination ip_address port 将Netflow的采样信息输出到Netflow的流量分
析系统上,这里2055是NI系统的Netflow默认端口号,如果是其他的Netflow系统可以在下面的命令行里更改端口号,NI系统也可以在全局配置下更改端口号。
c)ip flow-export source interface_name 配置发送Netflow采样信息的源接口,建议使用
Loopback接口。
ip flow-export version 5 配置Netflow的版本号为5。
d)ip flow-cache timeout active x 生成告警和显示故障排除数据为x分
钟。
snmp-server ifindex persist 全局启用ifIndex持续化(接口名)。
配置举例:
router#configure terminal
router(config)#interface FastEthernet 0/0
router(config-if)#ip route-cache flow
router(config-if)#exit
router(config)#ip flow-export destination 10.10.10.25 2055
router(config)#ip flow-export source loopback 0
router(config)#ip flow-export version 5
router(config)#ip flow-cache timeout active 1
router(config)#snmp-server if
验证命令
show ip flow export 显示当前Netflow的配置。
show ip cache verbose flow 该命令显示当前活动的流的概要,还显示设备输出了多少Netflow 数据。