NetFlow
O que é NetFlow?
NetFlowProtocolo de registo de fluxos com origem na Cisco, junto com os sucessores sFlow e IPFIX, que exporta metadados resumidos de cada conversa que atravessa um equipamento de rede.
O NetFlow descreve uma conversa uni ou bidirecional pelo quintuplo (IP e porta origem/destino, protocolo), com contadores de bytes e pacotes, marcas temporais, indices de interface e campos opcionais. O router ou switch exporta os registos para um coletor para armazenamento e analise. O NetFlow esta amplamente implantado porque escala em ligacoes multi-gigabit e da visibilidade de longo prazo sem o custo de armazenamento do PCAP. Variantes: Cisco NetFlow v5 e v9, sFlow (amostragem, InMon) e IPFIX (RFC 7011, neutro). Usos defensivos: baselining de trafego, detecao de beaconing, triagem de DDoS, exfiltracao e reconstrucao forense.
● Exemplos
- 01
Identificar trafego de beaconing C2 de uma estacao que envia pequenos fluxos regulares para um IP externo a cada cinco minutos.
- 02
Quantificar bytes de saida para um IP de cloud storage durante uma janela suspeita de exfiltracao.
● Perguntas frequentes
O que é NetFlow?
Protocolo de registo de fluxos com origem na Cisco, junto com os sucessores sFlow e IPFIX, que exporta metadados resumidos de cada conversa que atravessa um equipamento de rede. Pertence à categoria Defesa e operações da cibersegurança.
O que significa NetFlow?
Protocolo de registo de fluxos com origem na Cisco, junto com os sucessores sFlow e IPFIX, que exporta metadados resumidos de cada conversa que atravessa um equipamento de rede.
Como funciona NetFlow?
O NetFlow descreve uma conversa uni ou bidirecional pelo quintuplo (IP e porta origem/destino, protocolo), com contadores de bytes e pacotes, marcas temporais, indices de interface e campos opcionais. O router ou switch exporta os registos para um coletor para armazenamento e analise. O NetFlow esta amplamente implantado porque escala em ligacoes multi-gigabit e da visibilidade de longo prazo sem o custo de armazenamento do PCAP. Variantes: Cisco NetFlow v5 e v9, sFlow (amostragem, InMon) e IPFIX (RFC 7011, neutro). Usos defensivos: baselining de trafego, detecao de beaconing, triagem de DDoS, exfiltracao e reconstrucao forense.
Como se defender contra NetFlow?
As defesas contra NetFlow costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para NetFlow?
Nomes alternativos comuns: IPFIX, sFlow, Registos de fluxo.
● Termos relacionados
- defense-ops№ 806
PCAP
Formato binario de captura de pacotes produzido por libpcap, tcpdump e Wireshark, que armazena pacotes de rede tal como foram vistos no fio.
- defense-ops№ 1245
Wireshark
Analisador de protocolos de rede de codigo aberto que captura e inspeciona pacotes em tempo real para troubleshooting, analise de seguranca e formacao.
- network-security№ 295
Inspeção Profunda de Pacotes (DPI)
Técnica de inspeção que examina todo o payload dos pacotes de rede — não apenas os cabeçalhos — para identificar aplicações, conteúdo e ameaças.
- forensics-ir№ 722
Forense de rede
Captura, registo e análise de tráfego e metadados de rede para investigar eventos de segurança e reconstruir a atividade do atacante.
- defense-ops№ 716
NDR (Network Detection and Response)
Tecnologia de segurança de rede que analisa tráfego — incluindo pacotes decifrados, metadados e flows — através de analítica comportamental e ML para detetar ameaças e orquestrar respostas.