大家好,又见面了,我是你们的朋友全栈君。
NetFlow是基于流的流量分析技术,其中每条流主要包含以下字段:源IP地址、目的IP地址、源端口号、目的端口号、IP协议号、服务类型、TCP标记、字节数、接口号等。NetFlow是一个轻量级的分析工具,他只读取了报文中的一些重要字段不包含原始数据,并不属于全流量分析。
NetFlow网络异常流量分析
NetFlow流记录的主要信息和功能:
- who:源IP地址
- when:开始时间、结束时间
- where:源IP地址、源端口号、目标IP地址、目标端口号(访问路径)
- what:协议类型、目标IP地址、目标端口(什么应用)
- why:基线、阈值、特征(是否正常)
- how:流量大小、数据包数量(访问情况)
一个NetFlow流定义为在一个源IP地址和目标IP地址间传输的单向数据包流,且所有数据包都具有共同的传输层源、目的端口号。
每一条NetFlow流中各字段的含义:
源地址|目的地址|源自治域|目的自治域|流入接口号|流出接口号|源端口|目的端口|协议类型|包数量|字节数|流数量
在IP包头首部中有8个bit的协议号,用于指明IP的上层协议。
常见协议名称和协议号对应关系
协议号 | 协议 |
---|---|
1 | ICMP |
2 | IGMP |
6 | TCP |
17 | UDP |
常见的网络攻击流量
- SYN Flood攻击
SYN Flood攻击是通过半开的TCP连接,占用系统资源,使合法用户被排斥而不能建立正常的TCP连接;在该攻击中多个伪造的源IP同时向一个目的IP发起SYN Flood攻击(协议类型是6)。
192.168.*.*|60.18.*.*|Others|64851|3|2|10000|10000|6|1|40|1
192.168.*.*|60.18.*.*|Others|64851|3|2|3330|10000|6|1|40|1- UDP Flood攻击
该攻击中有多个伪造的源IP同时向一个目的IP发起UDF Flood攻击(协议类型为17)。
192.168.*.*|60.18.*.*|Others|64851|3|2|10000|10000|17|1|40|1
192.168.*.*|60.18.*.*|Others|64851|3|2|3330|10000|17|1|40|1- ICMP Flood攻击
该攻击中ICMP的协议号为1,无源、目的端口号。
192.168.*.*|60.18.*.*|Others|64851|3|2|0|0|1|1|40|1
192.168.*.*|60.18.*.*|Others|64851|3|2|0|0|1|1|40|1- DNS Flood攻击
该攻击中DNS占用TCP53号端口,在区域传输时使用TCP协议,其他时候使用UDP协议。
192.168.*.*|60.18.*.*|Others|64851|3|2|3227|53|6|1|40|1
192.168.*.*|60.18.*.*|Others|64851|3|2|3330|53|6|1|40|1- 病毒攻击445端口
该攻击中同一个IP攻击不同IP的445端口,该IP意思感染病毒。
192.168.*.*|60.18.*.*|Others|64851|3|2|3227|445|6|1|40|1
192.168.*.*|60.18.*.*|Others|64851|3|2|3330|445|6|1|40|1
发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/138814.html原文链接:https://javaforall.cn
【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛
【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...