至少有以下兩點(diǎn)理由讓我在SourceView2.0中加入NetFlow:
1. 對(duì)業(yè)務(wù)系統(tǒng)的分析。
越來(lái)越多的用戶(hù)有這種需求,而通過(guò)NetFlow我們可
以做到基于源IP和源端口的數(shù)據(jù)歸并和分析。用戶(hù)可以定義哪個(gè)IP和端口屬于哪
個(gè)業(yè)務(wù)系統(tǒng),從而能夠得到這個(gè)業(yè)務(wù)系統(tǒng)的流量、帶寬利用率以及其他一些數(shù)據(jù)。
2. 對(duì)異常流量的分析。
常見(jiàn)的異常流量數(shù)據(jù)包形式有以下幾種:
TCP SYN flood(40字節(jié))
從netflow的采集數(shù)據(jù)可以看出,此異常流量的典型特征是數(shù)據(jù)包協(xié)議類(lèi)型為6(TCP),
數(shù)據(jù)流大小為40字節(jié)(通常為TCP的SYN連接請(qǐng)求)。
ICMP flood
從netflow的采集數(shù)據(jù)可以看出,此異常流量的典型特征是數(shù)據(jù)包協(xié)議類(lèi)型為(ICMP),
單個(gè)數(shù)據(jù)流字節(jié)數(shù)達(dá)218M字節(jié)。
UDP flood
從netflow的采集數(shù)據(jù)可以看出,此異常流量的典型特征是數(shù)據(jù)包協(xié)議類(lèi)型為17(UDP),
數(shù)據(jù)流有大有小。
如果能預(yù)先定義異常流量數(shù)據(jù)包的格式,那么我們就能捕捉這些包,從而分析網(wǎng)絡(luò)異常流量。