NetFlow流量分析

NetFlow流量分析NetFlow是基于流的流量分析技术,其中每条流主要包含以下字段:源IP地址、目的IP地址、源端口号、目的端口号、IP协议号、服务类型、TCP标记、字节数、接口号等。NetFlow是一个轻量级的分析工具,他只读取了报文中的一些重要字段不包含原始数据,并不属于全流量分析。NetFlow网络异常流量分析NetFlow流记录的主要信息和功能:who:源IP地址when:开始时间、结束时间where:源IP地址、源端口号、目标IP地址、目标端口号(访问路径)what:协议类型、目标IP地址、目标.

大家好,又见面了,我是你们的朋友全栈君。

NetFlow是基于流的流量分析技术,其中每条流主要包含以下字段:源IP地址、目的IP地址、源端口号、目的端口号、IP协议号、服务类型、TCP标记、字节数、接口号等。NetFlow是一个轻量级的分析工具,他只读取了报文中的一些重要字段不包含原始数据,并不属于全流量分析。

NetFlow网络异常流量分析

NetFlow流记录的主要信息和功能:

  • who:源IP地址
  • when:开始时间、结束时间
  • where:源IP地址、源端口号、目标IP地址、目标端口号(访问路径)
  • what:协议类型、目标IP地址、目标端口(什么应用)
  • why:基线、阈值、特征(是否正常)
  • how:流量大小、数据包数量(访问情况)

一个NetFlow流定义为在一个源IP地址和目标IP地址间传输的单向数据包流,且所有数据包都具有共同的传输层源、目的端口号。
每一条NetFlow流中各字段的含义:
源地址|目的地址|源自治域|目的自治域|流入接口号|流出接口号|源端口|目的端口|协议类型|包数量|字节数|流数量

在IP包头首部中有8个bit的协议号,用于指明IP的上层协议。

常见协议名称和协议号对应关系

协议号 协议
1 ICMP
2 IGMP
6 TCP
17 UDP

常见的网络攻击流量

  • SYN Flood攻击
    SYN Flood攻击是通过半开的TCP连接,占用系统资源,使合法用户被排斥而不能建立正常的TCP连接;在该攻击中多个伪造的源IP同时向一个目的IP发起SYN Flood攻击(协议类型是6)。
    192.168.*.*|60.18.*.*|Others|64851|3|2|10000|10000|6|1|40|1
    192.168.*.*|60.18.*.*|Others|64851|3|2|3330|10000|6|1|40|1
  • UDP Flood攻击
    该攻击中有多个伪造的源IP同时向一个目的IP发起UDF Flood攻击(协议类型为17)。
    192.168.*.*|60.18.*.*|Others|64851|3|2|10000|10000|17|1|40|1
    192.168.*.*|60.18.*.*|Others|64851|3|2|3330|10000|17|1|40|1
  • ICMP Flood攻击
    该攻击中ICMP的协议号为1,无源、目的端口号。
    192.168.*.*|60.18.*.*|Others|64851|3|2|0|0|1|1|40|1
    192.168.*.*|60.18.*.*|Others|64851|3|2|0|0|1|1|40|1
  • DNS Flood攻击
    该攻击中DNS占用TCP53号端口,在区域传输时使用TCP协议,其他时候使用UDP协议。
    192.168.*.*|60.18.*.*|Others|64851|3|2|3227|53|6|1|40|1
    192.168.*.*|60.18.*.*|Others|64851|3|2|3330|53|6|1|40|1
  • 病毒攻击445端口
    该攻击中同一个IP攻击不同IP的445端口,该IP意思感染病毒。
    192.168.*.*|60.18.*.*|Others|64851|3|2|3227|445|6|1|40|1
    192.168.*.*|60.18.*.*|Others|64851|3|2|3330|445|6|1|40|1
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/138814.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • python 使用PyQt5

    python 使用PyQt5

  • Matlab自定义颜色图

    Matlab自定义颜色图介绍Matlab自带颜色图比较单调,很多时候无法达到其它绘图工具,如:NCL、Pythonmatplotlib、GMT等绘图软件颜色图效果。下面就介绍如何将NCL等颜色图为己所用。颜色图下载NCL官网提供了上述绘图工具的颜色图合集,因此只需要将需要的颜色图下载后进行使用即可。选择颜色图WhiteBlueGreenYellowRed下载。Matlab读取下载的颜色表clc;clearall;closeallfiguremesh(peaks)colorbarcolor=n

  • realsense深度图像保存方法[通俗易懂]

    realsense深度图像保存方法[通俗易懂]一般使用realsense时会保存视频序列,当保存深度图像时,需要注意保存的图像矩阵的格式,不然可能造成深度值的丢失。在众多图像库中,一般会使用opencv中的imwrite()函数进行深度图像的保存。一般深度图像中深度值的单位是mm,因此一般使用np.uint16作为最终数据格式保存。例子:importnumpyasnpimportcv2deffun1(…

  • 图形界面JAVA_aardio plus

    图形界面JAVA_aardio plus前阵子在用python写一些小程序,写完后就开始思考怎么给python程序配一个图形界面,毕竟控制台实在太丑陋了。于是百度了下python的图形界面库,眼花缭乱的一整页,拣了几件有“特色”有“噱头”的下载下来做了个demo,仍旧不是很满意,不是下载安装繁琐,就是界面丑陋或者难写难用,文档不齐全。后来那天,整理电脑文件发现了6年前下载的aatuo(现已更名aardio),顿时一阵惊喜。先说说aard…

    2022年10月23日
  • RabbitMQ入门:工作队列(Work Queue)

    在上一篇博客《RabbitMQ入门:HelloRabbitMQ代码实例》中,我们通过指定的队列发送和接收消息,代码还算是比较简单的。假设有这一些比较耗时的任务,按照上一次的那种方式,我们要一直等

  • Chrome 添加自定义搜索引擎「建议收藏」

    Chrome 添加自定义搜索引擎「建议收藏」在Chrome浏览器地址栏输入:chrome://settings/searchEngines进入管理搜索引擎点击其他搜索引擎右上角的“添加”按钮在输入界面自定义你的引擎,比如我这里添加了PIP的清华镜像点,以便于搜索我想要的第三方库该搜索引擎是通过关键字触发的,比如我用的“-pip”关键字在地址栏输入“-pip”,按tab键即可触发…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号