NetFlow
NetFlow 是什么?
NetFlow源自 Cisco 的流记录协议,以及其继任者 sFlow 和 IPFIX,用于导出穿过网络设备的每一次会话的摘要元数据。
NetFlow 通过五元组(源/目的 IP 与端口、协议)描述单向或双向会话,并附带字节数、包数、时间戳、接口索引以及可选字段。路由器或交换机将流记录导出到收集器进行存储和分析。NetFlow 部署广泛,可扩展到多 Gbps 链路,在不必付出完整 PCAP 存储成本的前提下提供长期可见性。常见变体包括 Cisco NetFlow v5 与 v9、基于采样的 sFlow(InMon)以及 IETF RFC 7011 的 IPFIX(厂商中立)。防御用途包括流量基线、信标(beacon)检测、DDoS 分级、数据外泄发现以及事件时间线重建。
● 示例
- 01
发现工作站每五分钟向同一外部 IP 发送规律小流量,识别为 C2 信标。
- 02
在疑似数据外泄时间窗内统计指向某云存储 IP 的出站字节量。
● 常见问题
NetFlow 是什么?
源自 Cisco 的流记录协议,以及其继任者 sFlow 和 IPFIX,用于导出穿过网络设备的每一次会话的摘要元数据。 它属于网络安全的 防御与运营 分类。
NetFlow 是什么意思?
源自 Cisco 的流记录协议,以及其继任者 sFlow 和 IPFIX,用于导出穿过网络设备的每一次会话的摘要元数据。
NetFlow 是如何工作的?
NetFlow 通过五元组(源/目的 IP 与端口、协议)描述单向或双向会话,并附带字节数、包数、时间戳、接口索引以及可选字段。路由器或交换机将流记录导出到收集器进行存储和分析。NetFlow 部署广泛,可扩展到多 Gbps 链路,在不必付出完整 PCAP 存储成本的前提下提供长期可见性。常见变体包括 Cisco NetFlow v5 与 v9、基于采样的 sFlow(InMon)以及 IETF RFC 7011 的 IPFIX(厂商中立)。防御用途包括流量基线、信标(beacon)检测、DDoS 分级、数据外泄发现以及事件时间线重建。
如何防御 NetFlow?
针对 NetFlow 的防御通常结合技术控制与运营实践,详见上方完整定义。
NetFlow 还有哪些其他名称?
常见的别称包括: IPFIX, sFlow, 流记录。
● 相关术语
- defense-ops№ 806
PCAP
由 libpcap、tcpdump、Wireshark 等工具生成的二进制数据包捕获文件格式,按原样存储链路上的网络数据包。
- defense-ops№ 1245
Wireshark
开源的网络协议分析器,可实时捕获并解析数据包,用于故障排查、安全分析与教学。
- network-security№ 295
深度包检测(DPI)
一种不仅检查报头还分析数据包整个负载的检测技术,用于识别应用、内容和威胁。
- forensics-ir№ 722
网络取证
对网络流量与元数据进行采集、记录和分析,用于调查安全事件并重建攻击者行为。
- defense-ops№ 716
NDR(网络检测与响应)
通过对网络流量(含解密报文、元数据与流记录)进行行为分析与机器学习,检测威胁并联动响应的网络安全技术。