大家好,又见面了,我是你们的朋友全栈君。
NetFlow是基于流的流量分析技术,其中每条流主要包含以下字段:源IP地址、目的IP地址、源端口号、目的端口号、IP协议号、服务类型、TCP标记、字节数、接口号等。NetFlow是一个轻量级的分析工具,他只读取了报文中的一些重要字段不包含原始数据,并不属于全流量分析。
NetFlow网络异常流量分析
NetFlow流记录的主要信息和功能:
- who:源IP地址
- when:开始时间、结束时间
- where:源IP地址、源端口号、目标IP地址、目标端口号(访问路径)
- what:协议类型、目标IP地址、目标端口(什么应用)
- why:基线、阈值、特征(是否正常)
- how:流量大小、数据包数量(访问情况)
一个NetFlow流定义为在一个源IP地址和目标IP地址间传输的单向数据包流,且所有数据包都具有共同的传输层源、目的端口号。
每一条NetFlow流中各字段的含义:
源地址|目的地址|源自治域|目的自治域|流入接口号|流出接口号|源端口|目的端口|协议类型|包数量|字节数|流数量
在IP包头首部中有8个bit的协议号,用于指明IP的上层协议。
常见协议名称和协议号对应关系
| 协议号 | 协议 |
|---|---|
| 1 | ICMP |
| 2 | IGMP |
| 6 | TCP |
| 17 | UDP |
常见的网络攻击流量
- SYN Flood攻击
SYN Flood攻击是通过半开的TCP连接,占用系统资源,使合法用户被排斥而不能建立正常的TCP连接;在该攻击中多个伪造的源IP同时向一个目的IP发起SYN Flood攻击(协议类型是6)。
192.168.*.*|60.18.*.*|Others|64851|3|2|10000|10000|6|1|40|1
192.168.*.*|60.18.*.*|Others|64851|3|2|3330|10000|6|1|40|1- UDP Flood攻击
该攻击中有多个伪造的源IP同时向一个目的IP发起UDF Flood攻击(协议类型为17)。
192.168.*.*|60.18.*.*|Others|64851|3|2|10000|10000|17|1|40|1
192.168.*.*|60.18.*.*|Others|64851|3|2|3330|10000|17|1|40|1- ICMP Flood攻击
该攻击中ICMP的协议号为1,无源、目的端口号。
192.168.*.*|60.18.*.*|Others|64851|3|2|0|0|1|1|40|1
192.168.*.*|60.18.*.*|Others|64851|3|2|0|0|1|1|40|1- DNS Flood攻击
该攻击中DNS占用TCP53号端口,在区域传输时使用TCP协议,其他时候使用UDP协议。
192.168.*.*|60.18.*.*|Others|64851|3|2|3227|53|6|1|40|1
192.168.*.*|60.18.*.*|Others|64851|3|2|3330|53|6|1|40|1- 病毒攻击445端口
该攻击中同一个IP攻击不同IP的445端口,该IP意思感染病毒。
192.168.*.*|60.18.*.*|Others|64851|3|2|3227|445|6|1|40|1
192.168.*.*|60.18.*.*|Others|64851|3|2|3330|445|6|1|40|1
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/138814.html原文链接:https://javaforall.net
