NetFlow
Что такое NetFlow?
NetFlowПротокол потоковых записей, изначально предложенный Cisco, и его наследники sFlow и IPFIX, экспортирующие сжатые метаданные обо всех сессиях через сетевое устройство.
NetFlow описывает однонаправленную или двунаправленную сессию пятёркой (IP/порт источника и назначения, протокол) и добавляет счётчики байт и пакетов, временные метки, индексы интерфейсов и опциональные поля. Маршрутизатор или коммутатор экспортирует записи коллектору для хранения и анализа. NetFlow широко применяется, поскольку масштабируется на мультигигабитных каналах и обеспечивает долгосрочную видимость без затрат на полные PCAP. Варианты: Cisco NetFlow v5 и v9, sFlow (выборочный, InMon) и IPFIX (RFC 7011, нейтральный к вендору). Защитные сценарии — построение базовых линий, обнаружение beaconing, триаж DDoS, выявление эксфильтрации, построение временных шкал.
● Примеры
- 01
Обнаружение beaconing-трафика C2 от рабочей станции, отправляющей небольшие потоки на один внешний IP каждые пять минут.
- 02
Подсчёт исходящих байт к IP облачного хранилища в окне предполагаемой эксфильтрации.
● Частые вопросы
Что такое NetFlow?
Протокол потоковых записей, изначально предложенный Cisco, и его наследники sFlow и IPFIX, экспортирующие сжатые метаданные обо всех сессиях через сетевое устройство. Относится к категории Защита и операции в кибербезопасности.
Что означает NetFlow?
Протокол потоковых записей, изначально предложенный Cisco, и его наследники sFlow и IPFIX, экспортирующие сжатые метаданные обо всех сессиях через сетевое устройство.
Как защититься от NetFlow?
Защита от NetFlow обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия NetFlow?
Распространённые альтернативные названия: IPFIX, sFlow, Потоковые записи.