??????? 1. NetFlow概念
　　
　???? NetFlow是一种数据交换方式，其工作原理是：NetFlow利用标准的交换模式处理数据流的第一个IP包数据，生成NetFlow 缓存，随后同样的数据基于缓存信息在同一个数据流中进行传输，不再匹配相关的访问控制等策略，NetFlow缓存同时包含了随后数据流的统计信息。
　　
　　一个NetFlow流定义为在一个源IP地址和目的IP地址间传输的单向数据包流，且所有数据包具有共同的传输层源、目的端口号。
　　
　　2. NetFlow数据采集
　　
　　针对路由器送出的NetFlow数据，可以利用NetFlow数据采集软件存储到服务器上，以便利用各种NetFlow数据分析工具进行进一步的处理。
　　
　　Cisco提供了Cisco NetFlow Collector（NFC）采集NetFlow数据，其它许多厂家也提供类似的采集软件。
　　
　　下例为利用NFC2.0采集的网络流量数据实例：
　　211.*.*.57|202.*.*.12|Others|localas|9|6|2392
　　|80|80|1|40|1
　　出于安全原因考虑，本文中出现的IP地址均经过处理。
　　NetFlow数据也可以在路由器上直接查看，以下为从Cisco GSR路由器采集的数据实例，：
　　gsr #att 2　　　　（登录采集NetFlow数据的GSR 2槽板卡）
　　LC-Slot2>sh ip cache flow
　　SrcIf　SrcIPaddress　DstIf　DstIPaddress　Pr SrcP DstP　Pkts
　　Gi2/1　219.*.*.229　PO4/2　217.*.*.228　06 09CB 168D　2
　　Gi2/1　61.*.*.23　Null　63.*.*.246　11　0426 059A　　 1
　　本文中的NetFlow数据分析均基于NFC采集的网络流量数据，针对路由器直接输出的Neflow数据，也可以采用类似方法分析。
　　
　　3. NetFlow数据采集格式说明
　　
　　NFC 可以定制多种NetFlow数据采集格式，下例为NFC2.0采集的一种流量数据实例，本文的分析都基于这种格式。
　　61.*.*.68|61.*.*.195|64917|Others|9|13|4528|
　　135|6|4|192|1
　　数据中各字段的含义如下：
　　源地址|目的地址|源自治域|目的自治域|流入接口号|流出接口号|源端口|目的端口|协议类型|包数量|字节数|流数量
　　
　　4. 几点说明
　　
　　NetFlow主要由Cisco路由器支持，对于其它厂家的网络产品也有类似的功能，例如Juniper路由器支持sFlow功能。
　　
　　NetFlow支持情况与路由器类型、板卡类型、IOS版本、IOS授权都有关系，不是在所有情况下都能使用，使用时需考虑自己的软硬件配置情况。
　　
　　本文的所有分析数据均基于采自Cisco路由器的NetFlow数据。

为什么要进行Flow分析？

要对互联网异常流量进行分析，首先要深入了解其产生原理及特征，以下将重点从NetFlow数据角度，对异常流量的种类、流向、产生后果、数据包类型、地址、端口等多个方面进行分析。

目前，对互联网造成重大影响的异常流量主要有以下几种：

拒绝服务攻击（DoS）

　　DoS攻击使用非正常的数据流量攻击网络设备或其接入的服务器，致使网络设备或服务器的性能下降，或占用网络带宽，影响其它相关用户流量的正常通信，最终可能导致网络服务的不可用。 　　例如DoS可以利用TCP协议的缺陷，通过SYN打开半开的TCP连接，占用系统资源，使合法用户被排斥而不能建立正常的TCP连接。 　　以下为一个典型的DoS SYN攻击的NetFlow数据实例，该案例中多个伪造的源IP同时向一个目的IP发起TCP SYN攻击。 　　117.*.68.45|211.*.*.49|Others|64851|3|2|10000| 　　10000|6|1|40|1 　　104.*.93.81|211.*.*.49|Others|64851|3|2|5557| 　　5928|6|1|40|1 　　58.*.255.108|211.*.*.49|Others|64851|3|2|3330| 　　10000|6|1|40|1 　　由于Internet协议本身的缺陷，IP包中的源地址是可以伪造的，现在的DoS工具很多可以伪装源地址，这也是不易追踪到攻击源主机的主要原因。

分布式拒绝服务攻击（DDoS）

　　DDoS把DoS又发展了一步，将这种攻击行为自动化，分布式拒绝服务攻击可以协调多台计算机上的进程发起攻击，在这种情况下，就会有一股拒绝服务洪流冲击网络，可能使被攻击目标因过载而崩溃。 　　以下为一个典型的DDoS攻击的NetFlow数据实例，该案例中多个IP同时向一个IP发起UDP攻击。 　　61.*.*.67|69.*.*.100|64821|as9|2|9|49064|5230| 　　17|6571|9856500|1 　　211.*.*.163|69.*.*.100|64751|as9|3|9|18423| 　　22731|17|906|1359000|1 　　61.*.*.145|69.*.*.100|64731|Others|2|0|52452| 　　22157|17|3|4500|1

网络蠕虫病毒流量

　　网络蠕虫病毒的传播也会对网络产生影响。近年来，Red Code、SQL Slammer、冲击波、振荡波等病毒的相继爆发，不但对用户主机造成影响，而且对网络的正常运行也构成了的危害，因为这些病毒具有扫描网络，主动传播病毒的能力，会大量占用网络带宽或网络设备系统资源。 　　以下为最近出现的振荡波病毒NetFlow数据实例，该案例中一个IP同时向随机生成的多个IP发起445端口的TCP连接请求，其效果相当于对网络发起DoS攻击。 　　61.*.*.*|168.*.*.200|Others|Others|3|0|1186| 　　445|6|1|48|1 　　61.*.*.*|32.*.*.207|Others|Others|3|0|10000| 　　445|6|1|48|1 　　61.*.*.*|24.*.*.23|Others|Others|3|0|10000| 　　445|6|1|48|1

其它异常流量

　　我们把其它能够影响网络正常运行的流量都归为异常流量的范畴，例如一些网络扫描工具产生的大量TCP连接请求，很容易使一个性能不高的网络设备瘫痪。 　　以下为一个IP对167.*.210.网段，针对UDP 137端口扫描的NetFlow数据实例： 　　211.*.*.54|167.*.210.95|65211|as3|2|10|1028| 　　137|17|1|78|1 　　211.*.*.54|167.*.210.100|65211|as3|2|10| 　　1028|137|17|1|78|1 　　211.*.*.54|167.*.210.103|65211|as3|2|10| 　　1028|137|17|1|78|1?目前，对互联网造成重大影响的异常流量主要有以下几种：

拒绝服务攻击（DoS）

　　DoS攻击使用非正常的数据流量攻击网络设备或其接入的服务器，致使网络设备或服务器的性能下降，或占用网络带宽，影响其它相关用户流量的正常通信，最终可能导致网络服务的不可用。

　　例如DoS可以利用TCP协议的缺陷，通过SYN打开半开的TCP连接，占用系统资源，使合法用户被排斥而不能建立正常的TCP连接。

　　以下为一个典型的DoS SYN攻击的NetFlow数据实例，该案例中多个伪造的源IP同时向一个目的IP发起TCP SYN攻击。

　　117.*.68.45|211.*.*.49|Others|64851|3|2|10000|

　　10000|6|1|40|1

　　104.*.93.81|211.*.*.49|Others|64851|3|2|5557|

　　5928|6|1|40|1

　　58.*.255.108|211.*.*.49|Others|64851|3|2|3330|

　　10000|6|1|40|1

　　由于Internet协议本身的缺陷，IP包中的源地址是可以伪造的，现在的DoS工具很多可以伪装源地址，这也是不易追踪到攻击源主机的主要原因。

分布式拒绝服务攻击（DDoS）

　　DDoS把DoS又发展了一步，将这种攻击行为自动化，分布式拒绝服务攻击可以协调多台计算机上的进程发起攻击，在这种情况下，就会有一股拒绝服务洪流冲击网络，可能使被攻击目标因过载而崩溃。

　　以下为一个典型的DDoS攻击的NetFlow数据实例，该案例中多个IP同时向一个IP发起UDP攻击。

　　61.*.*.67|69.*.*.100|64821|as9|2|9|49064|5230|

　　17|6571|9856500|1

　　211.*.*.163|69.*.*.100|64751|as9|3|9|18423|

　　22731|17|906|1359000|1

　　61.*.*.145|69.*.*.100|64731|Others|2|0|52452|

　　22157|17|3|4500|1

网络蠕虫病毒流量

　　网络蠕虫病毒的传播也会对网络产生影响。近年来，Red Code、SQL Slammer、冲击波、振荡波等病毒的相继爆发，不但对用户主机造成影响，而且对网络的正常运行也构成了的危害，因为这些病毒具有扫描网络，主动传播病毒的能力，会大量占用网络带宽或网络设备系统资源。

　　以下为最近出现的振荡波病毒NetFlow数据实例，该案例中一个IP同时向随机生成的多个IP发起445端口的TCP连接请求，其效果相当于对网络发起DoS攻击。

　　61.*.*.*|168.*.*.200|Others|Others|3|0|1186|

　　445|6|1|48|1

　　61.*.*.*|32.*.*.207|Others|Others|3|0|10000|

　　445|6|1|48|1

　　61.*.*.*|24.*.*.23|Others|Others|3|0|10000|

　　445|6|1|48|1

其它异常流量

　　我们把其它能够影响网络正常运行的流量都归为异常流量的范畴，例如一些网络扫描工具产生的大量TCP连接请求，很容易使一个性能不高的网络设备瘫痪。

　　以下为一个IP对167.*.210.网段，针对UDP 137端口扫描的NetFlow数据实例：

　　211.*.*.54|167.*.210.95|65211|as3|2|10|1028|

　　137|17|1|78|1

　　211.*.*.54|167.*.210.100|65211|as3|2|10|

　　1028|137|17|1|78|1

　　211.*.*.54|167.*.210.103|65211|as3|2|10|

　　1028|137|17|1|78|1

为什么要用NetFlow进行分析？?

??????? ?处理分析网络异常流量存在许多其它方法，如我们可以利用IDS、协议分析仪、网络设备的Log、Debug、ip accounting等功能查找异常流量来源，但这些方法的应用因各种原因受到限制，如效率低、对网络设备的性能影响、数据不易采集等因素。

?　　利用NetFlow分析网络异常流量也存在一些限制条件，如需要网络设备对NetFlow的支持，需要分析NetFlow数据的工具软件，需要网络管理员准确区分正常流量数据和异常流量数据等。

?　　但相比其它方法，利用NetFlow分析网络异常流量因其方便、快捷、高效的特点，为越来越多的网络管理员所接受，成为互联网安全管理的重要手段，特别是在较大网络的管理中，更能体现出其独特优势。