NetFlow
Qu'est-ce que NetFlow ?
NetFlowProtocole d'enregistrement de flux d'origine Cisco, ainsi que ses successeurs sFlow et IPFIX, qui exporte des metadonnees resumant chaque conversation qui traverse un equipement reseau.
NetFlow decrit une conversation unidirectionnelle ou bidirectionnelle par un quintuplet (IP et port source/destination, protocole) accompagne de compteurs d'octets et de paquets, d'horodatages, d'indices d'interface et de champs optionnels. Le routeur ou commutateur exporte les enregistrements vers un collecteur pour stockage et analyse. NetFlow se deploie largement car il monte en charge sur des liens multi-gigabits et offre une visibilite a long terme sans le cout de stockage du PCAP. Variantes : Cisco NetFlow v5 et v9, sFlow (echantillonnage, InMon), IPFIX (RFC 7011, neutre vis-a-vis du fournisseur). Usages defensifs : baselines, detection de beaconing, triage DDoS, exfiltration, reconstitution forensique.
● Exemples
- 01
Detecter un C2 par beaconing depuis un poste qui envoie de petits flux reguliers vers une meme IP externe toutes les cinq minutes.
- 02
Quantifier les octets sortants vers une IP de stockage cloud pendant une fenetre d'exfiltration suspectee.
● Questions fréquentes
Qu'est-ce que NetFlow ?
Protocole d'enregistrement de flux d'origine Cisco, ainsi que ses successeurs sFlow et IPFIX, qui exporte des metadonnees resumant chaque conversation qui traverse un equipement reseau. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie NetFlow ?
Protocole d'enregistrement de flux d'origine Cisco, ainsi que ses successeurs sFlow et IPFIX, qui exporte des metadonnees resumant chaque conversation qui traverse un equipement reseau.
Comment fonctionne NetFlow ?
NetFlow decrit une conversation unidirectionnelle ou bidirectionnelle par un quintuplet (IP et port source/destination, protocole) accompagne de compteurs d'octets et de paquets, d'horodatages, d'indices d'interface et de champs optionnels. Le routeur ou commutateur exporte les enregistrements vers un collecteur pour stockage et analyse. NetFlow se deploie largement car il monte en charge sur des liens multi-gigabits et offre une visibilite a long terme sans le cout de stockage du PCAP. Variantes : Cisco NetFlow v5 et v9, sFlow (echantillonnage, InMon), IPFIX (RFC 7011, neutre vis-a-vis du fournisseur). Usages defensifs : baselines, detection de beaconing, triage DDoS, exfiltration, reconstitution forensique.
Comment se défendre contre NetFlow ?
Les défenses contre NetFlow combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de NetFlow ?
Noms alternatifs courants : IPFIX, sFlow, Enregistrements de flux.
● Termes liés
- defense-ops№ 806
PCAP
Format binaire de capture de paquets produit par libpcap, tcpdump et Wireshark, qui enregistre les paquets reseau tels qu'ils ont ete vus sur le fil.
- defense-ops№ 1245
Wireshark
Analyseur de protocoles reseau open source qui capture et inspecte les paquets en temps reel pour le depannage, l'analyse de securite et la formation.
- network-security№ 295
Inspection approfondie des paquets (DPI)
Technique d'inspection qui examine la totalité de la charge utile des paquets, pas seulement leurs en-têtes, pour identifier applications, contenus et menaces.
- forensics-ir№ 722
Forensique réseau
Capture, enregistrement et analyse du trafic et des métadonnées réseau pour investiguer des événements de sécurité et reconstruire l'activité d'un attaquant.
- defense-ops№ 716
NDR (Network Detection and Response)
Technologie de sécurité réseau qui analyse le trafic — paquets déchiffrés, métadonnées et flux — par analyse comportementale et ML pour détecter les menaces et orchestrer la réponse.