NetFlow
Что такое NetFlow?
NetFlowПротокол потоковых записей, изначально предложенный Cisco, и его наследники sFlow и IPFIX, экспортирующие сжатые метаданные обо всех сессиях через сетевое устройство.
NetFlow описывает однонаправленную или двунаправленную сессию пятёркой (IP/порт источника и назначения, протокол) и добавляет счётчики байт и пакетов, временные метки, индексы интерфейсов и опциональные поля. Маршрутизатор или коммутатор экспортирует записи коллектору для хранения и анализа. NetFlow широко применяется, поскольку масштабируется на мультигигабитных каналах и обеспечивает долгосрочную видимость без затрат на полные PCAP. Варианты: Cisco NetFlow v5 и v9, sFlow (выборочный, InMon) и IPFIX (RFC 7011, нейтральный к вендору). Защитные сценарии — построение базовых линий, обнаружение beaconing, триаж DDoS, выявление эксфильтрации, построение временных шкал.
● Примеры
- 01
Обнаружение beaconing-трафика C2 от рабочей станции, отправляющей небольшие потоки на один внешний IP каждые пять минут.
- 02
Подсчёт исходящих байт к IP облачного хранилища в окне предполагаемой эксфильтрации.
● Частые вопросы
Что такое NetFlow?
Протокол потоковых записей, изначально предложенный Cisco, и его наследники sFlow и IPFIX, экспортирующие сжатые метаданные обо всех сессиях через сетевое устройство. Относится к категории Защита и операции в кибербезопасности.
Что означает NetFlow?
Протокол потоковых записей, изначально предложенный Cisco, и его наследники sFlow и IPFIX, экспортирующие сжатые метаданные обо всех сессиях через сетевое устройство.
Как работает NetFlow?
NetFlow описывает однонаправленную или двунаправленную сессию пятёркой (IP/порт источника и назначения, протокол) и добавляет счётчики байт и пакетов, временные метки, индексы интерфейсов и опциональные поля. Маршрутизатор или коммутатор экспортирует записи коллектору для хранения и анализа. NetFlow широко применяется, поскольку масштабируется на мультигигабитных каналах и обеспечивает долгосрочную видимость без затрат на полные PCAP. Варианты: Cisco NetFlow v5 и v9, sFlow (выборочный, InMon) и IPFIX (RFC 7011, нейтральный к вендору). Защитные сценарии — построение базовых линий, обнаружение beaconing, триаж DDoS, выявление эксфильтрации, построение временных шкал.
Как защититься от NetFlow?
Защита от NetFlow обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия NetFlow?
Распространённые альтернативные названия: IPFIX, sFlow, Потоковые записи.
● Связанные термины
- defense-ops№ 806
PCAP
Бинарный формат записи сетевых пакетов, создаваемый libpcap, tcpdump и Wireshark: хранит пакеты в точности так, как они проходили по сети.
- defense-ops№ 1245
Wireshark
Открытый сетевой анализатор протоколов, который перехватывает и разбирает пакеты в реальном времени для диагностики, анализа безопасности и обучения.
- network-security№ 295
Глубокая инспекция пакетов (DPI)
Метод инспекции, при котором анализируется не только заголовок, но и вся полезная нагрузка пакетов для распознавания приложений, контента и угроз.
- forensics-ir№ 722
Сетевая криминалистика
Захват, запись и анализ сетевого трафика и метаданных для расследования инцидентов и восстановления действий злоумышленника.
- defense-ops№ 716
NDR (обнаружение и реагирование в сети)
Технология сетевой безопасности, анализирующая трафик (включая расшифрованный, метаданные и потоковые данные) с помощью поведенческой аналитики и ML, чтобы обнаруживать угрозы и оркестровать реагирование.