NetFlow
O que é NetFlow?
NetFlowProtocolo de registo de fluxos com origem na Cisco, junto com os sucessores sFlow e IPFIX, que exporta metadados resumidos de cada conversa que atravessa um equipamento de rede.
O NetFlow descreve uma conversa uni ou bidirecional pelo quintuplo (IP e porta origem/destino, protocolo), com contadores de bytes e pacotes, marcas temporais, indices de interface e campos opcionais. O router ou switch exporta os registos para um coletor para armazenamento e analise. O NetFlow esta amplamente implantado porque escala em ligacoes multi-gigabit e da visibilidade de longo prazo sem o custo de armazenamento do PCAP. Variantes: Cisco NetFlow v5 e v9, sFlow (amostragem, InMon) e IPFIX (RFC 7011, neutro). Usos defensivos: baselining de trafego, detecao de beaconing, triagem de DDoS, exfiltracao e reconstrucao forense.
● Exemplos
- 01
Identificar trafego de beaconing C2 de uma estacao que envia pequenos fluxos regulares para um IP externo a cada cinco minutos.
- 02
Quantificar bytes de saida para um IP de cloud storage durante uma janela suspeita de exfiltracao.
● Perguntas frequentes
O que é NetFlow?
Protocolo de registo de fluxos com origem na Cisco, junto com os sucessores sFlow e IPFIX, que exporta metadados resumidos de cada conversa que atravessa um equipamento de rede. Pertence à categoria Defesa e operações da cibersegurança.
O que significa NetFlow?
Protocolo de registo de fluxos com origem na Cisco, junto com os sucessores sFlow e IPFIX, que exporta metadados resumidos de cada conversa que atravessa um equipamento de rede.
Como se defender contra NetFlow?
As defesas contra NetFlow costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para NetFlow?
Nomes alternativos comuns: IPFIX, sFlow, Registos de fluxo.