NetFlow流量分析
阿新 • • 發佈:2021-01-14
NetFlow是基於流的流量分析技術,其中每條流主要包含以下欄位:源IP地址、目的IP地址、源埠號、目的埠號、IP協議號、服務型別、TCP標記、位元組數、介面號等。NetFlow是一個輕量級的分析工具,他只讀取了報文中的一些重要欄位不包含原始資料,並不屬於全流量分析。
NetFlow網路異常流量分析
NetFlow流記錄的主要資訊和功能:
- who:源IP地址
- when:開始時間、結束時間
- where:源IP地址、源埠號、目標IP地址、目標埠號(訪問路徑)
- what:協議型別、目標IP地址、目標埠(什麼應用)
- why:基線、閾值、特徵(是否正常)
- how:流量大小、資料包數量(訪問情況)
一個NetFlow流定義為在一個源IP地址和目標IP地址間傳輸的單向資料包流,且所有資料包都具有共同的傳輸層源、目的埠號。
每一條NetFlow流中各欄位的含義:
源地址|目的地址|源自治域|目的自治域|流入介面號|流出介面號|源埠|目的埠|協議型別|包數量|位元組數|流數量
在IP包頭首部中有8個bit的協議號,用於指明IP的上層協議。
常見協議名稱和協議號對應關係
| 協議號 | 協議 |
|---|---|
| 1 | ICMP |
| 2 | IGMP |
| 6 | TCP |
| 17 | UDP |
常見的網路攻擊流量
- SYN Flood攻擊
SYN Flood攻擊是通過半開的TCP連線,佔用系統資源,使合法使用者被排斥而不能建立正常的TCP連線;在該攻擊中多個偽造的源IP同時向一個目的IP發起SYN Flood攻擊(協議型別是6)。192.168.*.*|60.18.*.*|Others|64851|3|2|10000|10000|6|1|40|1
192.168.*.*|60.18.*.*|Others|64851|3|2|3330|10000|6|1|40|1- UDP Flood攻擊
該攻擊中有多個偽造的源IP同時向一個目的IP發起UDF Flood攻擊(協議型別為17)。
192.168.*.*|60.18.*.*|Others|64851|3|2|10000|10000|17|1|40|1
192.168.*.*|60.18.*.*|Others|64851|3|2|3330|10000|17|1|40|1- ICMP Flood攻擊
該攻擊中ICMP的協議號為1,無源、目的埠號。
192.168.*.*|60.18.*.*|Others|64851|3|2|0|0|1|1|40|1192.168.*.*|60.18.*.*|Others|64851|3|2|0|0|1|1|40|1- DNS Flood攻擊
該攻擊中DNS佔用TCP53號埠,在區域傳輸時使用TCP協議,其他時候使用UDP協議。
192.168.*.*|60.18.*.*|Others|64851|3|2|3227|53|6|1|40|1
192.168.*.*|60.18.*.*|Others|64851|3|2|3330|53|6|1|40|1- 病毒攻擊445埠
該攻擊中同一個IP攻擊不同IP的445埠,該IP意思感染病毒。
192.168.*.*|60.18.*.*|Others|64851|3|2|3227|445|6|1|40|1
192.168.*.*|60.18.*.*|Others|64851|3|2|3330|445|6|1|40|1