至少有以下两点理由让我在SourceView2.0中加入NetFlow:
1. 对业务系统的分析。
越来越多的用户有这种需求,而通过NetFlow我们可
以做到基于源IP和源端口的数据归并和分析。用户可以定义哪个IP和端口属于哪
个业务系统,从而能够得到这个业务系统的流量、带宽利用率以及其他一些数据。
2. 对异常流量的分析。
常见的异常流量数据包形式有以下几种:
TCP SYN flood(40字节)
从netflow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为6(TCP),
数据流大小为40字节(通常为TCP的SYN连接请求)。
ICMP flood
从netflow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为(ICMP),
单个数据流字节数达218M字节。
UDP flood
从netflow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为17(UDP),
数据流有大有小。
如果能预先定义异常流量数据包的格式,那么我们就能捕捉这些包,从而分析网络异常流量。