下载文档原格式
网络流量分析NetFlow协议解析网络流量分析在网络安全和性能监控中起着重要的作用。
而NetFlow协议作为其中一种流量分析的关键工具,在网络管理领域中被广泛应用。
本文将对NetFlow协议进行详细解析,介绍其原理、功能和应用。
一、NetFlow协议简介NetFlow协议是由思科公司于1996年推出的一种网络流量分析技术。
它能够提供流量统计、流量分析和流量监控等功能。
NetFlow协议通过在路由器和交换机上收集、处理和导出流量数据,为网络管理员提供实时的流量信息和网络性能的评估。
二、NetFlow协议的工作原理NetFlow协议的工作原理可以分为三个阶段:数据收集、数据处理和数据导出。
1. 数据收集在网络中的路由器和交换机上,通过配置使其能够将经过设备的流量数据进行收集。
NetFlow支持两种收集方式:Full Flow和Sampled Flow。
Full Flow是指完整地收集每一个流量数据进行处理;Sampled Flow是指以一定的频率采样流量数据进行处理,减少处理开销。
2. 数据处理收集到的流量数据会经过设备内部的处理引擎进行处理。
处理引擎会提取关键信息,如源IP地址、目的IP地址、源端口、目的端口、协议类型等,并基于这些信息生成流记录。
3. 数据导出处理后的流记录会根据配置的规则进行导出。
导出方式有两种:NetFlow v5和NetFlow v9。
NetFlow v5是早期版本,具有广泛的兼容性;NetFlow v9则是最新版本,支持更多的字段,并且具有灵活的配置能力。
三、NetFlow协议的功能NetFlow协议具有以下几个主要功能:1. 流量统计NetFlow可以对流量进行实时统计,包括流量量、带宽利用率、流量峰值等。
这些统计数据可以帮助网络管理员了解网络的负载情况,有助于进行容量规划和性能优化。
2. 流量分析通过对收集到的流量数据进行分析,NetFlow可以帮助管理员发现网络中的异常情况和潜在安全威胁。
NetFlow的应用例子来源:51CTO 作者:雨天责编:豆豆技术应用现在很多单位都部署了基于SNMP的网管系统,通过SNMP网管系统实现了对网络设备的端口流量、设备的CPU、内存等指标的管理,但基于SNMP的网络系统只能监测设备端口的流量大小,在端口发生拥塞或出现P2P、病毒等异常流量时,基于SNMP的网管系统是没办法提供端口用户的IP地址和流量协议分布等情况的。
这样对于持续拥塞的端口,网络管理人员要带协议分析工具到现场通过端口镜像等模式来读取端口的流量内容来解决问题,而端口间歇流量异常的问题就很难处理。
为了解决SNMP网管的管理盲区,我们利用Netflow提供的网络流量的三层、四层信息,完成对网络流量含量的分析,与SNMP网管配合对网络流量实现全面监测。
NetFlow 的监测应用例子1:分支的路由资源利用状态这篇文章是基于利用福禄克网络的NFT (NetFlow Tracker) 的功能和界面来实现的。
您可以下载试用版,有效期到20 09年6月。
首先假设我们在这个简单的网络上,把分支的路由器启动了NetFlow,可以对互联网端口(红色)的流量进行长期的监测。
NetFlow数据通过网络送到信息中心的NetFlow采集器上。
长期监测的好处是可以提供"正常"时的状态,我们一般称为"基线"。
我们可以看看在一周内,从分支发送到互联网的流量中,有多少是连接到信息中心的。
通过一些NetFlow分析软件,可以提供NetFlow的统计报表:饼图、柱状图、图表等。
我们关心的数据包括:带宽利用率?正常的最大、平均,出现异常时可以有基准依据分辨异常的类型。
平常的应用分布,发报源列表,对话列表?这些都是越细越长越好。
有多少分支的流量是与信息中心进行的?业务与可能非业务的资源占用比较信息中心的那些服务器利用率最多?对于规划资源和优化提供帮助非信息中心的应用为何?对于非业务流量进一步了解/控制如果出现大流量时,分辨出差异,找出流量由谁发出,到哪里?带宽利用率:有一点要留意,如果只依靠NetFlow来监测端口的利用率,是不准确的,因为NetFlow只能对IP流进行统计。
netflow协议的原理宝子!今天咱来好好聊聊Netflow协议这个挺有趣的玩意儿。
Netflow协议啊,就像是网络世界里的一个小侦探呢。
你想啊,在一个超级复杂的网络环境里,就像一个超级大的迷宫,里面有各种各样的数据跑来跑去。
Netflow 协议呢,它的任务就是要搞清楚这些数据是从哪儿来的,要到哪儿去,就像是追踪小怪兽的踪迹一样。
那它是怎么做到的呢?这就很神奇啦。
当网络设备,比如说路由器或者交换机,在处理数据流量的时候,Netflow协议就开始发挥作用了。
它会悄悄地在旁边看着这些数据流动,然后把一些关键的信息给记下来。
比如说,它会记录这个数据流量是哪个源IP地址发出来的,就像是知道是哪个小房子里的人发出了信号一样。
还有目的IP地址,这就好比是这个信号要到达的另外一个小房子。
而且啊,它还会记下这个流量用的是什么端口,这就像知道是从哪个小窗户发出去或者要进入哪个小窗户似的。
这个协议啊,还有个很贴心的地方呢。
它不仅仅是简单地记录这些信息,还会把这些信息按照一定的规则给整理好。
就像把你那些乱七八糟的小物件都分类放在不同的小盒子里一样。
它会把相似的流量信息归为一组,比如说,从同一个源IP地址到同一个目的IP地址,而且端口也相同的流量,就把它们放在一起。
这样做有啥好处呢?这就方便网络管理员去查看和分析啦。
你可以想象一下,如果没有Netflow协议,网络管理员就像是在一个黑暗的房间里找东西,完全不知道数据的流动情况。
但是有了Netflow协议呢,就好像有人给他开了一盏小灯,他可以清楚地看到数据的走向。
比如说,要是发现某个源IP地址总是向一个不正常的目的IP地址发送大量的数据,那管理员就可以怀疑是不是有什么安全问题啦,是不是有小坏蛋在偷偷搞事情呢。
而且啊,Netflow协议还能帮助网络管理员来管理网络的带宽呢。
就像你家里的水管子一样,如果不知道哪里用水多,哪里用水少,可能就会造成一些地方水不够用,一些地方又浪费水。
Netflow实时监控需求分析一、概述Netflow是CISCO公司提出的网络数据包交换技术,该技术首先应用于网络设备对数据交换进行加速,并可同步实现对高速转发的IP数据流进行测量和统计。
经过多年的技术演进,NetFlow原来用于数据交换加速的功能已经逐步改由网络设备中的专用集成电路(ASIC)芯片实现,而对流经网络设备的IP Flow进行测量和统计的功能却更加成熟,并成为当今互联网领域公认的最主要的IP流量分析、统计和计费行业标准。
目前,天清汉马USG设备支持NETFLOW V9版本,并通过数据中心实现对NETFLOW数据的采集与分析。
二、3.0版本Netflow实时监控需求:天清汉马数据中心虽然支持NETFLOW的查询,但并不支持图形化显示,所有NETFLOW数据都必须通过查询显示在表格中,缺乏直观的分类和显示方式,这样的操作方式也失去了实时的效果,从实际使用效果来看,并不理想。
结合市场一些Netflow分析工具的操作方式,并根据数据中心的操作流程,建议3.0版本的实时监控部分应增加如下改进:1、增加图形显示在预定义设备组或IP组后,在点击实时流量查询时能直观的以饼图、柱状图显示相关内容,并在图形下方显示数字明细。
其中饼图可以显示各设备所占总流量的百分比(以设备组为例)柱状图则以时间为轴显示流量变化。
该页面应支持自定义设置,依照设备组、IP、安全策略及协议显示。
图形下方显示相关详细内容:总流量及平均流量默认根据颜色显示一小时内所有设备组的流量变化情况。
2、支持协议分类在Netflow实时显示中,应支持对协议的分类显示。
其中除了传统的固定端口的内容显示外,还支持对于P2P/VOIP等业务的流量显示。
3、显示CPU、内存及接口流量显示指定设备的相关接口流量,CPU、内存显示4、支持TOP N显示支持统计单位时间内的TOP N流量:如协议、源地址、目的地址、5、支持Netflow流采样模式可设置Netflow的流采样模式,根据设定的比例采集数据包。
NetFlow的应用例子来源:51CTO 作者:雨天责编:豆豆技术应用现在很多单位都部署了基于SNMP的网管系统,通过SNMP网管系统实现了对网络设备的端口流量、设备的CPU、内存等指标的管理,但基于SNMP的网络系统只能监测设备端口的流量大小,在端口发生拥塞或出现P2P、病毒等异常流量时,基于SNMP的网管系统是没办法提供端口用户的IP地址和流量协议分布等情况的。
这样对于持续拥塞的端口,网络管理人员要带协议分析工具到现场通过端口镜像等模式来读取端口的流量内容来解决问题,而端口间歇流量异常的问题就很难处理。
为了解决SNMP网管的管理盲区,我们利用Netflow提供的网络流量的三层、四层信息,完成对网络流量含量的分析,与SNMP网管配合对网络流量实现全面监测。
NetFlow 的监测应用例子1:分支的路由资源利用状态这篇文章是基于利用福禄克网络的NFT (NetFlow Tracker) 的功能和界面来实现的。
您可以下载试用版,有效期到20 09年6月。
首先假设我们在这个简单的网络上,把分支的路由器启动了NetFlow,可以对互联网端口(红色)的流量进行长期的监测。
NetFlow数据通过网络送到信息中心的NetFlow采集器上。
长期监测的好处是可以提供"正常"时的状态,我们一般称为"基线"。
我们可以看看在一周内,从分支发送到互联网的流量中,有多少是连接到信息中心的。
通过一些NetFlow分析软件,可以提供NetFlow的统计报表:饼图、柱状图、图表等。
我们关心的数据包括:带宽利用率?正常的最大、平均,出现异常时可以有基准依据分辨异常的类型。
平常的应用分布,发报源列表,对话列表?这些都是越细越长越好。
有多少分支的流量是与信息中心进行的?业务与可能非业务的资源占用比较信息中心的那些服务器利用率最多?对于规划资源和优化提供帮助非信息中心的应用为何?对于非业务流量进一步了解/控制如果出现大流量时,分辨出差异,找出流量由谁发出,到哪里?带宽利用率:有一点要留意,如果只依靠NetFlow来监测端口的利用率,是不准确的,因为NetFlow只能对IP流进行统计。
所以最好以SNMP的数据为基础。
但由于现今的流大部分为IP流,在广域网上便更少非IP流,在大部分情况下可以从NetFlow得到很好的数据。
基于统计,可以生成基线,作为告警的依据。
平常的应用分布,发报源列表,对话列表?这些都是越细越长越好。
一般的NetFlow流数据都以1分钟为输出单位,所以NetFlow的统计粒度一般最少可以到1分钟。
每个分析最好可以如下的应用报告:可以按端口利用率、字节率或包数量列出。
有多少分支的流量是与信息中心(业务)进行的:在NetFlow数据中,所有的IP源和目标地址都会被记录。
我们可把分支流量分成以数据中心IP地址为源或目标的流量和其他,分别列出便可。
在一些NetFlow 分析软件,可以加入过滤条件实现这分析(在报告中,DataCenter代表以下子网范围)。
非信息中心的应用、用户为何?与找出导向信息中心的流量多少相反,可以先用非信息中心的方法找出流量多少。
对于比较高级的NetFlow分析软件,还可以进一步对这流量的内容分析然后对这些流量列出其应用或其他列表。
从NFT,可以用(右鼠标键来选这)生成需要的应用报告信息中心的那些服务器利用度最多(用户/连接/字节)在某时段,按服务器照顾的对话数量排序,方便发现是否有对服务器进行端口扫描的情况。
在NFT (NetFlow Tracker)有一报告(Destination Address Popularity)可以同时列出流量中各个目标地址的用户和连接数量。
在这个例子,85.17.215.10这个站点对服务器进行多个对话,从NetFlow数据再深入分析,找到对话的协议端口,看得出是在做端口扫描:报告和告警:在大多数情况下,网管员都不希望盯着以上的报告,所以定期生成报告的能力和当异常状态出现时,最好能提供告警(通过SNMP Trap或EMAIL等方式)。
告警的考虑主要是:需要基线和不要太敏感。
除了手动输入基线外,可以利用学习的平均值加上偏离标准差来定义敏感度,然后定义偏离时间的长短,来决定告警。
概念是如果偏离的时间持续比较长(15分钟)一般误判的机会比较低!NetFlow 的应用例子2:数据中心的路由资源利用状态对于分析一个信息中心需要支持多个分支时,管理员比较关心流量由何而来,是什么,利用了数据中心什么资源。
这与分析一个分支与信息中心的报告相似(请参考NetFlow应用例子1),分别是:1.需要同时对多路流量进行汇总分析。
由于现今信息中心多有备份线路或负载均衡线路,监测流量时必须可以把多个线路的流量进行汇总分析。
2.如果配置了流量优先级别,各级别占用的带宽?优化优先级流量带宽分配3.需要了解各个分支发送到总部的流量占的比例。
利用NetFlow了解流量来源出现的变化,首先对进口各个端口进行汇聚式利用率监测。
如下图把进口的两个路由器的两个进口的流量汇聚。
个优先级别占用的带宽各个分支发送到总部的流量占的比例当需要了解各分支的流量时,可以把分支按其子网进行定义,然后分支来列出流量分布。
NetFlow 的应用例子3:发现异常流量当出现异常时,需要有好的手段发现异常流量的出现和发生的端口和原因。
一般NetFlow的分析,都以"量"的分析和告警为主导、例如对每个分支的流量监测,各应用的流量,高级的可以对非正常业务量监测(例如分支与分支间的流量)。
有一种新的分析方法叫内容报警。
原理是对NetFlow的应用列表、对话列表、源和目标地址列表的头100名次进行监测,当头20出现新的的项目而不是从列表中的头100名中升级的,便会发出告警。
这样可以发现应用(异常的)、数据源占用大量带宽时(发出DDOS,WORM等攻击)。
在配置告警时,可以增加过滤参数:如所属的分支流量,分支对分支的流量,服务器处理的流量等。
现在这种报警方式,在福禄克网络的NFT上已提供。
例如对分支与分支间的流量分析:对于集中式网络结构,一般都不希望出现分支经过信息中心让后访问其他分支的流量。
如果有,需要了解是什么,而且评估是否需要启用MPLS等技术来优化带宽资源的利用。
通过过滤非以信息中心作为起点或终点的NetFlow流量,便可对这些流的量和应用的组成生成告警。
NetFlow 的应用例子4:找出路经改变在现今的网络中,特别是基于MPLS网络,都可以支持点对点的备份路经,以达到灾备和自动修复的功能。
为了充分利用资源,高级路由技术如Cisco的PfR可以按性能选择路径。
换句话说,路经可以充分利用(不会只作为灾备)。
但这对网管员在诊断应用性能出现改变时,对网络路经的理解增加了不少困难。
NetFlow可以用以跟踪每一个流的路径状态。
要求:要做到这点,需要选用的NetFlow采集结构,可以对每一个流进行记录和保存,而且需要对所有路径上的端口都已启动了NetFlow。
在NetFlow数据中`,所记载有流的输出路由端口。
方法:把网络所有路由器路径上的数据都汇总分析。
然后选择所关心的对话,列出其经过的路由器进和出端口。
下图展示两个子网通信时,经过的路由设备,还有其端口。
在这里,看到HQ_ROUTER_1和BRANCH_1_ROUTER_1路由器,承载192.168.51.0和192.168.53.0之间的流量,在4:23AM-6:23AM的两小时间,各路由器只有1对端口组合用以支持这两个分支的通信。
如果在正常时,HQ_Router_1用的端口不是这个的话,应该可以进一步分析。
例如是什么对话利用了这端口呢?应该可以轻易抽取出这样的报告。
NetFlow 的应用例子5:监测异常流量源的特性NetFlow 数据是通过从三层设备所搜集到的。
通过适当地分析NetFlow 信息,可以协助管理者在蠕虫爆发或不正常网络行为的初期快速分析出网络中存在的问题。
可能的异常流量1.互联网地址指派机构(Internet Assigned Numbers Authority , IANA)将下列三段IP 地址保留给私有网络使用10.0.0.0~10.255.255.255、172.16.0.0~172.31.255.255 及192.168.0.0~192.168.255.255。
攻击者可利用这个缺陷伪造来源I P 地址(IP Spoofing )来发动攻击,避免被追踪到攻击来源,所以我们可以从我们所接受到NetFlow 数据中来源主机所使用的IP 地址(Source IP Address)字段,找出伪造来源地址的流量,再利用NetFlow数据中信息流流入接口编号(Input IFinde x)字段的信息,找出连接这个接口的上游路由器,请他们协助调查或处理。
2.我们可以通过NetFlow 数据找出网络中建立session 数目最多的主机,因为如果一台主机对特定主机产生不正常的大量连接,这可能代表着新的蠕虫、阻断服务攻击、网络扫描等的可能性,因为一个正常的主机对外连接会有一定正常的频率,如果正常的主机感染了蠕虫,就可能会开始产生异常的网络行为,开始产生对外大量的连接需求来找寻下一个感染的对象,因此我们可以从感染蠕虫的主机的NetFlow 信息中发现到大量的对外连接需求,同样的原理,如果所管辖网络中的使用者从网络上下载阻断服务攻击之工具程序企图对外发动攻击时,或是使用者利用Nmap 之类的扫瞄工具扫瞄特定网址,以找出目标主机所可能存在弱点或是漏洞时,我们都可以从NetFlow 数据中发现从网域中某个特定地址送出的大量session。
3.若某个Flow 正常地建立TCP 连接后,其数据包控制(TCP Flag) 字段会记录的包含ACK、SYN、FIN 等控制标志,但是如果蠕虫进行感染的动作时,由于随机选取的主机并不一定存在,或是即使存在但目标主机没有开放蠕虫所要感染的T CP port,在这种情况下,NetFlow 信息中由受感染主机对外联机所产生的Flow 数据包控制标志(TCP Flag) 字段会只存在SYN 这个TCP 控制标志,根据这种特性网络管理者可以先将其NetFlow 数据中数据包控制标志(TCP Flag)字段只有存在SYN 控制标志的Flow 数据过滤出来,通过这种方式我们可以把大部分正常的流量排除,这时候我们要从可疑的数据中找出真正异常流量的难度就会降低许多,能快速找出问题,也可以避免运算资源无谓的浪费。
NetFlow 的应用例子6:找出丢包的位置背景:在一个关键的应用中,需要能保证UDP的数据传递。
其中在两端的路由器相隔5-6公里,每端有20-30台工作站进行通信。
