flow分析(作者:曹铮)曹铮(中国联通数据与固定通信业务部)摘 要 本文从互联网运营商的视角,flow分析手段,对互联网异常流量的特征进行了深入分析,进而提出如何在网络层面对互联网异常流量采取防护措施,flow分析案例。关键词 互联网 异常流量 Netflow 流量分析DoS/DDoS 蠕虫病毒一、前言 近年来,随着互联网在全球的迅速发展和各种互联网应用的快速普及,互联网已成为人们日常工作生活中不可或缺的信息承载工具。然而,伴随着互联网的正常应用流量,网络上形形色色的异常流量也随之而来,影响到互联网的正常运行,威胁用户主机的安全和正常使用。 本文从互联网运营商的视角,对互联网异常流量的特征进行了深入分析,进而提出如何在网络层面对互联网异常流量采取防护措施,flow分析在互联网异常流量防护中的应用及典型案例。flow简介 flow数据,flow做简单介绍。 flow概念 NetFlow是一种数据交换方式,Flow利用标准的交换模式处理数据流的第一个IP包数据,Flow缓存,随后同样的数据基于缓存信息在同一个数据流中进行传输,Flow缓存同时包含了随后数据流的统计信息。 Flow流定义为在一个源IP地址和目的IP地址间传输的单向数据包流,且所有数据包具有共同的传输层源、目的端口号。 flow数据采集 flow数据,flow数据采集软件存储到服务器上,flow数据分析工具进行进一步的处理。 flowCollector(NFC)flow数据,其它许多厂家也提供类似的采集软件。 : 211.*.*.57|202.*.*.12|Others|localas|9|6|2392|80|80|1|40|1 出于安全原因考虑,本文中出现的IP地址均经过处理。 Netflow数据也可以在路由器上直接查看,以下为从CiscoGSR路由器采集的数据实例,: gsr#att2 (flow数据的GSR2槽板卡) LC-Slot2>shipcacheflow SrcIf SrcIPaddress DstIf DstIPaddress PrSrcPDstP Pkts Gi2/1 219.*.*.229 PO4/2 217.*.*.228 0609CB168D 2 Gi2/1 61.*.*.23 Null 63.*.*.246 11 0426059A 1 flow数据分析均基于NFC采集的网络流量数据,针对路由器直接输出的Neflow数据,也可以采用类似方法分析。 flow数据采集格式说明 flow数据采集格式,,本文的分析都基于这种格式。 61.*.*.68|61.*.*.195|64917|Others|9|13|4528|135|6|4|192|1 数据中各字段的含义如下: 源地址|目的地址|源自治域|目的自治域|流入接口号|流出接口号|源端口|目的端口|协议类型|包数量|字节数|流数量 Netflow主要由Cisco路由器支持,对于其它厂家的网络产品也有类似的功能,例如Juniper路由器支持sFlow功能。 Netflow支持情况
flow分析 来自淘豆网www.taodocs.com转载请标明出处.