NetFlow
¿Qué es NetFlow?
NetFlowProtocolo de registros de flujo originado en Cisco, junto a sus sucesores sFlow e IPFIX, que exporta metadatos resumidos de cada conversacion que cruza un dispositivo de red.
NetFlow describe una conversacion unidireccional o bidireccional mediante la quintupla (IP y puerto origen/destino, protocolo) y anade conteos de bytes y paquetes, marcas de tiempo, indices de interfaz y campos opcionales. El router o switch exporta registros de flujo a un colector para su almacenamiento y analisis. NetFlow se usa ampliamente porque escala a enlaces multigigabit y aporta visibilidad a largo plazo sin el coste del PCAP completo. Variantes: Cisco NetFlow v5 y v9, sFlow (basado en muestreo, de InMon) e IPFIX (IETF RFC 7011, neutro de fabricante). Defensa: line baselines, deteccion de beaconing, triage de DDoS, deteccion de exfiltracion y reconstruccion de cronologias.
● Ejemplos
- 01
Detectar trafico C2 de beacon en una estacion que envia flujos pequenos y regulares a una IP externa cada cinco minutos.
- 02
Cuantificar bytes salientes hacia una IP de almacenamiento cloud durante una ventana de posible exfiltracion.
● Preguntas frecuentes
¿Qué es NetFlow?
Protocolo de registros de flujo originado en Cisco, junto a sus sucesores sFlow e IPFIX, que exporta metadatos resumidos de cada conversacion que cruza un dispositivo de red. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa NetFlow?
Protocolo de registros de flujo originado en Cisco, junto a sus sucesores sFlow e IPFIX, que exporta metadatos resumidos de cada conversacion que cruza un dispositivo de red.
¿Cómo funciona NetFlow?
NetFlow describe una conversacion unidireccional o bidireccional mediante la quintupla (IP y puerto origen/destino, protocolo) y anade conteos de bytes y paquetes, marcas de tiempo, indices de interfaz y campos opcionales. El router o switch exporta registros de flujo a un colector para su almacenamiento y analisis. NetFlow se usa ampliamente porque escala a enlaces multigigabit y aporta visibilidad a largo plazo sin el coste del PCAP completo. Variantes: Cisco NetFlow v5 y v9, sFlow (basado en muestreo, de InMon) e IPFIX (IETF RFC 7011, neutro de fabricante). Defensa: line baselines, deteccion de beaconing, triage de DDoS, deteccion de exfiltracion y reconstruccion de cronologias.
¿Cómo defenderse de NetFlow?
Las defensas contra NetFlow combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para NetFlow?
Nombres alternativos comunes: IPFIX, sFlow, Registros de flujo.
● Términos relacionados
- defense-ops№ 806
PCAP
Formato binario de captura de paquetes producido por libpcap, tcpdump y Wireshark que almacena los paquetes tal como se vieron en la red.
- defense-ops№ 1245
Wireshark
Analizador de protocolos de red de codigo abierto que captura e inspecciona paquetes en tiempo real para solucion de problemas, analisis de seguridad y formacion.
- network-security№ 295
Inspección profunda de paquetes (DPI)
Técnica de inspección que examina toda la carga útil de los paquetes —no solo las cabeceras— para identificar aplicaciones, contenido y amenazas.
- forensics-ir№ 722
Forense de red
Captura, registro y análisis del tráfico y metadatos de red para investigar eventos de seguridad y reconstruir la actividad del atacante.
- defense-ops№ 716
NDR (Detección y Respuesta de Red)
Tecnología de seguridad de red que analiza el tráfico —incluidos paquetes descifrados, metadatos y flujos— mediante análisis conductual y ML para detectar amenazas y orquestar la respuesta.