至少有以下兩點理由讓我在SourceView2.0中加入NetFlow:
1. 對業(yè)務系統(tǒng)的分析。
越來越多的用戶有這種需求,而通過NetFlow我們可
以做到基于源IP和源端口的數據歸并和分析。用戶可以定義哪個IP和端口屬于哪
個業(yè)務系統(tǒng),從而能夠得到這個業(yè)務系統(tǒng)的流量、帶寬利用率以及其他一些數據。
2. 對異常流量的分析。
常見的異常流量數據包形式有以下幾種:
TCP SYN flood(40字節(jié))
從netflow的采集數據可以看出,此異常流量的典型特征是數據包協議類型為6(TCP),
數據流大小為40字節(jié)(通常為TCP的SYN連接請求)。
ICMP flood
從netflow的采集數據可以看出,此異常流量的典型特征是數據包協議類型為(ICMP),
單個數據流字節(jié)數達218M字節(jié)。
UDP flood
從netflow的采集數據可以看出,此異常流量的典型特征是數據包協議類型為17(UDP),
數據流有大有小。
如果能預先定義異常流量數據包的格式,那么我們就能捕捉這些包,從而分析網絡異常流量。