NetFlow流量分析

NetFlow流量分析NetFlow是基于流的流量分析技术,其中每条流主要包含以下字段:源IP地址、目的IP地址、源端口号、目的端口号、IP协议号、服务类型、TCP标记、字节数、接口号等。NetFlow是一个轻量级的分析工具,他只读取了报文中的一些重要字段不包含原始数据,并不属于全流量分析。NetFlow网络异常流量分析NetFlow流记录的主要信息和功能:who:源IP地址when:开始时间、结束时间where:源IP地址、源端口号、目标IP地址、目标端口号(访问路径)what:协议类型、目标IP地址、目标.

大家好,又见面了,我是你们的朋友全栈君。

NetFlow是基于流的流量分析技术,其中每条流主要包含以下字段:源IP地址、目的IP地址、源端口号、目的端口号、IP协议号、服务类型、TCP标记、字节数、接口号等。NetFlow是一个轻量级的分析工具,他只读取了报文中的一些重要字段不包含原始数据,并不属于全流量分析。

NetFlow网络异常流量分析

NetFlow流记录的主要信息和功能:

  • who:源IP地址
  • when:开始时间、结束时间
  • where:源IP地址、源端口号、目标IP地址、目标端口号(访问路径)
  • what:协议类型、目标IP地址、目标端口(什么应用)
  • why:基线、阈值、特征(是否正常)
  • how:流量大小、数据包数量(访问情况)

一个NetFlow流定义为在一个源IP地址和目标IP地址间传输的单向数据包流,且所有数据包都具有共同的传输层源、目的端口号。
每一条NetFlow流中各字段的含义:
源地址|目的地址|源自治域|目的自治域|流入接口号|流出接口号|源端口|目的端口|协议类型|包数量|字节数|流数量

在IP包头首部中有8个bit的协议号,用于指明IP的上层协议。

常见协议名称和协议号对应关系

协议号 协议
1 ICMP
2 IGMP
6 TCP
17 UDP

常见的网络攻击流量

  • SYN Flood攻击
    SYN Flood攻击是通过半开的TCP连接,占用系统资源,使合法用户被排斥而不能建立正常的TCP连接;在该攻击中多个伪造的源IP同时向一个目的IP发起SYN Flood攻击(协议类型是6)。
    192.168.*.*|60.18.*.*|Others|64851|3|2|10000|10000|6|1|40|1
    192.168.*.*|60.18.*.*|Others|64851|3|2|3330|10000|6|1|40|1
  • UDP Flood攻击
    该攻击中有多个伪造的源IP同时向一个目的IP发起UDF Flood攻击(协议类型为17)。
    192.168.*.*|60.18.*.*|Others|64851|3|2|10000|10000|17|1|40|1
    192.168.*.*|60.18.*.*|Others|64851|3|2|3330|10000|17|1|40|1
  • ICMP Flood攻击
    该攻击中ICMP的协议号为1,无源、目的端口号。
    192.168.*.*|60.18.*.*|Others|64851|3|2|0|0|1|1|40|1
    192.168.*.*|60.18.*.*|Others|64851|3|2|0|0|1|1|40|1
  • DNS Flood攻击
    该攻击中DNS占用TCP53号端口,在区域传输时使用TCP协议,其他时候使用UDP协议。
    192.168.*.*|60.18.*.*|Others|64851|3|2|3227|53|6|1|40|1
    192.168.*.*|60.18.*.*|Others|64851|3|2|3330|53|6|1|40|1
  • 病毒攻击445端口
    该攻击中同一个IP攻击不同IP的445端口,该IP意思感染病毒。
    192.168.*.*|60.18.*.*|Others|64851|3|2|3227|445|6|1|40|1
    192.168.*.*|60.18.*.*|Others|64851|3|2|3330|445|6|1|40|1
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/138814.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • docker导出镜像命令_docker批量导出镜像

    docker导出镜像命令_docker批量导出镜像docker导出镜像docker导出镜像使用dockersave命令,可以使用dockersave–help查看用法为dcokersave[镜像名]:[TAG]-o[保存后文件名]-o,–output#输出为文件,后跟保存后的文件名[TAG]可以通过dockerimages查看示例…

  • jsonify

    jsonifyflask提供了jsonify函数供用户处理返回的序列化json数据,而python自带的json库中也有dumps方法可以序列化json对象,那么在flask的视图函数中return它们会有什么不同之处呢?想必开始很多人和我一样搞不清楚,只知道既然框架提供了方法就用,肯定不会错。但作为开发人员,我们需要弄清楚开发过程中各种实现方式的特点和区别,这样在我们面对不同的需求时才能做出相对合理的选择,而…

  • H3C交换机、路由器常用配置命令大全

    H3C交换机、路由器常用配置命令大全H3C交换机配置命令大全1、system-view进入系统视图模式2、sysname为设备命名3、displaycurrent-configuration当前配置情况4、language-modeChinese|English中英文切换5、interfaceEthernet1/0/1进入以太网端口视图6、portlink-ty

  • 基于麦克风阵列的现有声源定位技术有_麦克风阵列

    基于麦克风阵列的现有声源定位技术有_麦克风阵列麦克风阵列:麦克风阵列是由一定数目的声学传感器(麦克风)按照一定规则排列的多麦克风系统,而基于麦克风阵列的声源定位是指用麦克风拾取声音信号,通过对麦克风阵列的各路输出信号进行分析和处理,得到一个或者多个声源的位置信息。麦克风阵列系统的声源定位技术研究意义在于:输入的信息只有两个方向难以确定声源的位置,人类的听觉系统主要取决于头和外耳气压差声波实现声源定位。假使没有这个压力差,只能定位在平面上声源的位置,但就无法知道声音是从前面,或从后面传来的。因此,由人的听觉系统,科技研发人员得到了灵感,使用多个麦克风

  • SpringMVC工作流程及其原理

    SpringMVC工作流程及其原理1、序言一、什么是SpringMVC?pring 配备构建Web 应用的全功能MVC框架。Spring可以很便捷地和其他MVC框架集成,如Struts,Spring 的MVC框架用控制反转把业务对象和控制逻辑清晰地隔离。它也允许以声明的方式把请求参数和业务对象绑定。springmvc是一个基于mvc的web框架。springmvc是spring框架的一个模块,springmvc和s…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号