NetFlow
Was ist NetFlow?
NetFlowVon Cisco eingefuehrtes Flow-Record-Protokoll mit den Nachfolgern sFlow und IPFIX, das zusammengefasste Metadaten jeder Konversation eines Netzgeraets exportiert.
NetFlow beschreibt eine ein- oder bidirektionale Konversation per 5-Tupel (Quell-/Ziel-IP und -Port, Protokoll) mit Byte- und Paketzaehlern, Zeitstempeln, Interface-Indizes und optionalen Feldern. Router oder Switch exportieren die Records an einen Collector zur Speicherung und Analyse. NetFlow ist weit verbreitet, weil es auf Multi-Gigabit-Links skaliert und langfristige Sichtbarkeit ohne die Speicherkosten von Voll-PCAP bietet. Varianten: Cisco NetFlow v5 und v9, sFlow (sampling-basiert, InMon), IPFIX (IETF RFC 7011, herstellerneutral). Defensive Nutzung: Baselining, Beacon-Detection, DDoS-Triage, Exfiltration, forensische Zeitlinien.
● Beispiele
- 01
Beaconing-Traffic einer Workstation erkennen, die alle fuenf Minuten kleine Flows an eine externe IP sendet.
- 02
Ausgehende Bytes zu einer Cloud-Storage-IP in einem moeglichen Exfiltrationsfenster quantifizieren.
● Häufige Fragen
Was ist NetFlow?
Von Cisco eingefuehrtes Flow-Record-Protokoll mit den Nachfolgern sFlow und IPFIX, das zusammengefasste Metadaten jeder Konversation eines Netzgeraets exportiert. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet NetFlow?
Von Cisco eingefuehrtes Flow-Record-Protokoll mit den Nachfolgern sFlow und IPFIX, das zusammengefasste Metadaten jeder Konversation eines Netzgeraets exportiert.
Wie funktioniert NetFlow?
NetFlow beschreibt eine ein- oder bidirektionale Konversation per 5-Tupel (Quell-/Ziel-IP und -Port, Protokoll) mit Byte- und Paketzaehlern, Zeitstempeln, Interface-Indizes und optionalen Feldern. Router oder Switch exportieren die Records an einen Collector zur Speicherung und Analyse. NetFlow ist weit verbreitet, weil es auf Multi-Gigabit-Links skaliert und langfristige Sichtbarkeit ohne die Speicherkosten von Voll-PCAP bietet. Varianten: Cisco NetFlow v5 und v9, sFlow (sampling-basiert, InMon), IPFIX (IETF RFC 7011, herstellerneutral). Defensive Nutzung: Baselining, Beacon-Detection, DDoS-Triage, Exfiltration, forensische Zeitlinien.
Wie schützt man sich gegen NetFlow?
Schutzmaßnahmen gegen NetFlow kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für NetFlow?
Übliche alternative Bezeichnungen: IPFIX, sFlow, Flow-Records.
● Verwandte Begriffe
- defense-ops№ 806
PCAP
Binaeres Paket-Mitschnittformat von libpcap, tcpdump und Wireshark, das Netzwerkpakete genau so speichert, wie sie auf dem Kabel zu sehen waren.
- defense-ops№ 1245
Wireshark
Ein Open-Source-Netzwerkprotokollanalysator, der Pakete in Echtzeit aufzeichnet und untersucht, fuer Troubleshooting, Sicherheitsanalyse und Schulung.
- network-security№ 295
Deep Packet Inspection (DPI)
Ein Verfahren, das nicht nur Header, sondern die gesamte Nutzlast von Netzwerkpaketen analysiert, um Anwendungen, Inhalte und Bedrohungen zu erkennen.
- forensics-ir№ 722
Netzwerkforensik
Erfassung, Speicherung und Analyse von Netzwerkverkehr und Metadaten zur Untersuchung von Sicherheitsvorfällen und Rekonstruktion gegnerischer Aktivität.
- defense-ops№ 716
NDR (Network Detection and Response)
Netzwerksicherheits-Technologie, die Verkehr (inklusive entschlüsselter Pakete, Metadaten und Flow-Daten) per Verhaltensanalyse und ML untersucht, um Bedrohungen zu erkennen und Response zu orchestrieren.