NetFlow基础:网络流量监控简介
NetFlow基础:网络流量监控简介
为了充分了解NetFlow是什么以及为什么它用于网络监视,我们首先需要知道流是什么。
当计算机需要彼此交谈时,它们建立通信通道,通常称为连接。(从技术上讲,这些通信信道只能在涉及TCP协议时调用连接。)流指的是任何连接或连接,如通信信道。
在更技术的术语中,流程由其5元组定义,该流由五个数据点集合组成:
源和目标IP地址交换信息
源端口和目标端口(例如ICMP不使用端口)
协议
流标识通信信道,共享相同5元组字段的所有数据包都属于同一流。
NetFlow是内置在网络设备中的功能,它收集每个流的测量值,并将其导出到另一个系统进行分析。例如,NetFlow捕获流的第一个和最后一个数据包的时间戳(因此捕获其持续时间)、交换的字节和数据包总数、TCP连接中使用的标志的摘要以及其他详细信息。
通过收集和分析这些流数据,我们可以了解网络是如何使用的详细信息。例如,流分析有助于解决网络问题、识别带宽占用,以及跟踪与哪些外部IP或国家交换数据。
NetFlow的演变
NetFlow最初是在Cisco路由器中引入的,作为一种汇总通过Cisco设备路由的数据包的网络流数据的方法。它于1995年作为一种在局域网上使用的基于软件的技术首次引入,但它不能很好地扩展到高带宽连接,最终被另一种称为快速转发的技术所取代。
然而,在Cisco网络中实现的数据流非常有用。
多年来,NetFlow已经成为其他供应商模仿的事实上的行业标准。为了避免商标问题,其他供应商给他们的流分析命名不同。例如,Juniper提供J-Flow,华为提供NetStream,sFlow是一个多供应商产品。(sFlow实际上与其他部分有很大不同,但我们将把讨论留到另一个时间。)
事实上,基于流的监控协议变得非常流行,以至于在2008年,IETF发布了IPFIX,这是NetFlow的官方行业标准。
NetFlow本身经历了多年有趣的演变。从静态协议开始,它具有为所有流收集的固定统计信息集,现在它是可扩展的。在版本9(最新版本)中,您可以选择启用哪些统计信息,供应商可以实现扩展以将专有信息附加到流条目。IPFIX有时被称为netflowv10,因为它与netflowv9非常相似。
在本文中,我们将继续提到NetFlow,因为它仍然是使用最广泛的标准,但是我们讨论的所有内容通常都涉及到所有其他流协议。
NetFlow是如何工作的?
使用NetFlow需要三个部分:
流导出器:负责收集流信息并将其导出到流收集器的设备或网络设备(通常是路由器或防火墙)。
流收集器:接收导出流信息的设备或服务器。
流量分析器:分析由流量收集器收集的流量信息的应用程序。
NetFlow basics collector analyzer监视网络流量
当数据包到达时,从网络设备开始生成NetFlow数据。首先,设备检查包的5元组是否存在于一个称为流缓存的最近看到的流的表中。
如果5元组在表中,则更新缓存项:数据包计数增加1,字节计数增加数据包长度,依此类推。如果流不在缓存中,这意味着数据包属于以前看不到的流,因此会向表中添加一个新条目。
当然,NetFlow的全部目的是将信息导出到收集器进行存储或分析。因此,在称为流过期的过程中,流信息定期导出到流收集器。
特定的流条目在两种情况下过期:
非活动超时。如果一个流是非活动的,那么在一段时间内没有观察到它的数据包,则假定该流已完成并且条目过期。通常,不活动的时间段配置为15秒。
活动超时。如果流在某段时间内保持活动状态,则它将过期。在许多平台上,活动超时的默认值为30分钟。
活动超时可能看起来有悖常理,但超时存在,因此流分析器可以更快地获取长时间运行流的信息。长数据流往往是携带大量数据的“大象”流,只有在数据流完成后才了解它们的存在是适得其反的。一个永远运行的流永远不会过期,因此会逃过检测!
许多设备都是用低于理想值的活动超时值编程的。三十分钟,甚至五分钟,太长了。我们建议使用一分钟的活动超时值,这样流分析器就可以频繁地接收有关网络的信息,并且可以更准确地表示网络上发生的事情。
一旦流收集器接收到一个流条目,它就会将其转发给流分析器,后者提取并呈现相关的细节。
你能从NetFlow中看到什么?
每个分析器从传入的流数据中提取不同的信息。例如,在Auvik的TrafficInsights中,您可以看到:
所有流经流量监控设备的流量
按应用程序、协议、域、源和目标IP和端口划分的流量
顶级地址、对话和自主系统
按地理位置划分的来源和目的地
这些数据可以帮助您回答以下问题:
谁在使用像BitTorrent这样的被禁应用程序
谁在占用带宽并减慢网络速度
为什么你的客户的网络服务器从朝鲜收到这么多的连接
在感染过程中被入侵的服务器连接到了什么地方
NetFlow开销低
导出NetFlow数据所需的带宽通常小于总带宽消耗的0.5%。例如,如果您正在监视一个使用率为100 Mbit/s的链路,路由器将额外消耗0.5 Mbit/s来导出NetFlow数据。
如果带宽使用是您关心的问题,大多数供应商都会提供一种称为采样NetFlow的功能。采样NetFlow是对数据包的统计采样,其中NetFlow只处理N个数据包中的一个,其余的则被跳过。只要分析器知道启用了采样,统计采样就会保留大多数重要的流属性。
某些路由器型号无法跟上全网流计算,无法实现采样以降低CPU负载。如果你的网络流量足够大的话,你的网络流量也能支持它。
根据经验,对于千兆级带宽使用,64到100个数据包中的1个应该是安全的,而对于千兆到多兆的带宽使用,建议1000到10000个数据包中有1个是安全的。有关进一步的指导,请参阅设备供应商的文档。
NetFlow为您提供深入的网络可见性
流分析工具是服务提供商世界中最常用的网络可见性工具。替代方案包括深度包检查(在大多数客户机网络上往往是过度杀戮)和主动监视(顾名思义,这会给网络带来不必要的负载)。
使用流分析的最大优点是,几乎可以肯定,您的客户机设备上已经有了NetFlow或IPFIX支持,您只需**它并将其输出指向收集器即可。
安装流量分析很容易而且相对便宜。几乎不需要额外的硬件。配置仅限于网络上的几个节点,可以在几分钟内完成,无需停机。
这意味着您可以快速地将流分析添加到客户端网络,并立即获得对所有流量流的重要见解。
在下面的示例中,在连接到internet的主路由器(R1)上配置NetFlow,可以监视进出公司的所有流量,并监视DMZ中服务器上的任何攻击。这通常被称为南北交通。
NetFlow基础监控网络流量
如果在连接不同部门(S1)的主交换机上启用NetFlow,还可以即时查看所有内部网络流量,通常称为东西向流量。
总之,NetFlow是监视任何网络的强大工具。凭借其简单性和低成本收集大量详细指标的能力,您可以使用NetFlow检查、评估、规划、故障排除和保护所有客户端网络。
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38858749/article/details/109462477