afunms

My Software,My Dream—Forge a more perfect NMS product.

new architecture(10)--NetFlow

   至少有以下两点理由让我在SourceView2.0中加入NetFlow:
  
1. 对业务系统的分析。
   越来越多的用户有这种需求,而通过NetFlow我们可
以做到基于源IP和源端口的数据归并和分析。用户可以定义哪个IP和端口属于哪
个业务系统,从而能够得到这个业务系统的流量、带宽利用率以及其他一些数据。

   2. 对异常流量的分析。
   
常见的异常流量数据包形式有以下几种:
   TCP SYN flood(40
字节)
  
netflow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为6(TCP)
数据流大小为40字节(通常为TCPSYN连接请求)

   ICMP flood
  
netflow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为(ICMP)
单个数据流字节数达218M字节。

   UDP flood
  
netflow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为17(UDP)
数据流有大有小。

  
如果能预先定义异常流量数据包的格式,那么我们就能捕捉这些包,从而分析网络异常流量。

posted on 2007-05-10 21:27 afunms 阅读(97) 评论(0)  编辑  收藏


只有注册用户登录后才能发表评论。


网站导航:
 

My Links

News

留言簿(18)

随笔档案

相册

搜索

最新评论

阅读排行榜