Netflow数据输出格式
下面对网络流量和流向分析系统中最常使用的Netflow V5数据输出的数据包格式进行一个简单介绍。
下图为Netflow输出数据包的包头格式:
图2 Netflow V5输出数据包的包头格式
下图为包含在每个 Netflow V5输出数据包中的具体数据流的流量和流向统计信息的数据格式:
图3 Netflow V5输出数据包中每个数据流的具体流量和流向统计信息格式
Netflow V9的数据输出格式与V5有较大区别,主要是因为Netflow V9采用了基于模板式的数据输出方式。网络设备在进行Netflow V9格式的数据输出时会向上层管理服务器分别发送数据包模板和数据流纪录。数据包模板确定了后续发送的数据流纪录数据包的格式和长度,便于管理服务器对后续数据包的处理。同时为避免传输过程中出现丢包或错误,网络设备会定期重复发送数据包模板给上层管理服务器。
3 如何利用Netflow技术进行互联网的安全管理
利用Netflow技术,运营商管理员主要可以实现对网络异常通信的检测,重点防范DDoS攻击和大范围的蠕虫病毒发作,建议的处理流程如下:
- 管理准备阶段:预先在网络设备上启动Netflow,并把Netflow采集到的网络通信流量和流向数据发送给运营商安全管理中心部署的相应Netflow分析和安全管理系统。管理系统通过分析日常Netflow采集到的统计数据,可以事先掌握网络的流量分布状况以及全网通信的正常基线,并以此为依据为日后可能出现的通信异常进行评估。
- 攻击发现和识别阶段:由于Netflow管理代理是内嵌在网络设备中的,当网络流量突然出现异常时,Netflow可以迅速做出反应。异常通信的流量和流向统计信息可以被实时汇总到管理中心的安全管理系统。通过分析,管理系统可以区分出异常流量的具体属性,包括异常出现的时刻,通信的来源地址和目的地地址的分布,占用端口的分布状况,通信流量的峰值,持续的时间等等。
- 攻击确认和分类阶段:根据分析出的异常通信的具体属性,以及与网络通信正常基线的比对,管理员可以快速定性出现的通信异常是否为网络安全攻击、确定安全攻击的类型和评估本次攻击的危险程度及可能造成的影响范围。对会造成大范围网络影响甚至业务瘫痪的恶性安全攻击需要进行实时告警。
- 攻击追踪阶段:在确定安全攻击的类型和危险级别后,为便于在源头阻塞安全攻击,需要为进一步澄清安全攻击出现的原始来源以及除主要攻击源外是否还存在其它安全危险来源。管理员可以利用管理系统对Netflow采集到的原始攻击数据包的具体特性进行察看,查找最先出现攻击的数据源,以及随时间的发展是否还有其它新的安全攻击数据源的出现。
- 处理阶段:在确认了所有主要安全攻击的来源后,管理员可根据本次所受攻击的特点采用相应技术手段实施事故应急处理,如为出现攻击的网络端口配置入向或出向的访问控制列表,对特定类型通信流量进行限速等。通过这些技术措施可以对网络安全攻击流量进行阻断,防止其对大范围网络的运行造成影响。
- 后续监视阶段:在安全攻击被阻断后,全网所有设备中的Netflow管理代理还会继续对网络通信流量进行采集和检测,汇总到管理系统的统计数据可以评估是否所有攻击都已经被屏蔽,并持续监视是否还有新的安全攻击的出现。
为更好地帮助电信运营商利用思科的Netflow技术对互联网进行有效的安全管理,思科公司还与多家业界知名的安全管理系统开发商达成了技术合作,合作利用Netflow技术开发电信级的网络安全管理系统。现在市场上支持思科Netflow技术的网络安全管理系统有多种,如思科公司自己提供的Cisco Info Center管理系统,以及如Arbor Networks公司,Mazu Networks公司,Adlex公司等多家第三方厂商提供的安全管理软件。
URL查看 http://www.qqread.com/net-manage/u111300208.html
更多内容请看路由安全配置专题、网络管理实用手册、互联网安全专题,或进入讨论组讨论。
相关图文阅读
频道图文推荐
健 康 咨 询
时 尚 咨 询
相关专题
- 网络管理中的常用命令 (893次浏览)
- 网络管理员须警惕: 能够突破网关限制的七大 (301次浏览)
- 2004年网络管理员考试大纲 (254次浏览)
- 网络管理员必备:Windows日志的保护与伪造 (231次浏览)
- SNMP (简单网络管理协议 Simple Network Man (175次浏览)
- 网络管理员六大常见错误你会处理吗? (173次浏览)
- 解析3G网络管理体系 (117次浏览)
- 关注网络管理“亚健康” (48次浏览)
- 利用samba共享网络打印机 (0次浏览)
