NetFlow các trường đại học công nghệ và quản lý mạng

Để đạt được hiệu quả quản lý mạng, cơ chế mạng lưới giám sát về sự cần thiết phải thu thập thông
tin có liên quan, được chủ động cho thấy vấn đề và giải quyết nó. NetFlow là một lưu lượng mạng
thông tin để cung cấp các thỏa thuận, các quản trị viên có thể nhanh chóng và hiệu quả thông qua
mạng lưới tổng thể NetFlow thuộc thẩm quyền của nhà nước.

Với sự phát triển nhanh chóng của các ứng dụng mạng, nhiều trường học tăng băng thông mạng,
trong khi các mạng không tỷ lệ thuận với việc tăng cường hiệu suất. Để đạt được hiệu quả quản lý
mạng, cơ chế mạng lưới giám sát về sự cần thiết phải thu thập thông tin có liên quan, được chủ
động cho thấy vấn đề và giải quyết nó. NetFlow là một lưu lượng mạng thông tin để cung cấp các
thỏa thuận, các quản trị viên có thể nhanh chóng và hiệu quả thông qua mạng lưới tổng thể
NetFlow thuộc thẩm quyền của nhà nước. Chúng tôi sẽ giới thiệu trình tự tiếp theo trước khi NetFlow
và quản lý mạng và cơ chế hoạt động giữa các cơ chế, các NetFlow hiện Cuối cùng, các ứng dụng có
liên quan. NetFlow xuất xứ.

Theo truyền thống, nhà quản lý mạng thường là thông qua SNMP (Simple Network Management
Protocol) cho các công cụ hỗ trợ giao thức SNMP từ các cơ sở mạng lưới để thu thập dữ liệu lưu
lượng mạng, mặc dù các thông tin thu được theo cách này sẽ không dẫn đến gánh nặng xử lý quá
nhiều, nhưng để cung cấp cho SNMP chỉ có một, rough thông tin ngắn gọn. Thông tin này có thể
cho phép các nhà quản lý xác định vấn đề, nhưng không tiếp tục giải quyết vấn đề.

Sau đó, có khác để cung cấp một công nghệ mạng thông tin chi tiết hơn Network thăm dò (?
Sniffer) hoặc các công cụ giám sát tương tự bắt đầu được triển khai trong các thiết bị mạng được sử
dụng để nắm bắt các gói dữ liệu qua các gói dữ liệu được dịch để xác định các thông tin dữ liệu tiêu
đề lĩnh vực, và phân tích thêm về nội dung của nó để có được thông tin chi tiết hơn.

Mặc dù gói công cụ giám sát thông qua để có được một mạng lưới thông tin chi tiết hơn, nhưng các
công cụ giám sát thường tập trung vào một nội dung gói tin mạng duy nhất, do đó, các nhà quản lý
mạng từ công cụ giám sát rất khó để cung cấp thông tin để nắm bắt tình trạng mạng tổng thể.
Ngoài ra, việc phân tích các dữ liệu gói tốn thời gian, và theo dõi việc lưu trữ các gói dữ liệu và sự
cần thiết phải phân tích số lượng rất lớn dữ liệu cho việc tiêu thụ các nguồn tài nguyên và nhân viên
là tuyệt vời, phương pháp này rõ ràng là không thích hợp cho môi trường mạng đại học quản lý.

NetFlow là trong trường hợp này ra đời và trở thành một công cụ phổ biến cho nhân viên quản lý
mạng, một số lượng ngày càng tăng của các trường trong việc nuôi con nuôi của công cụ này để
hiểu cách sử dụng mạng. NetFlow có thể không chỉ cung cấp mạng thông tin chi tiết hơn, và phân
tích cách để tránh các băng thông mạng và tài nguyên máy tính, một gánh nặng quá nặng.

NetFlow cơ chế hoạt động

NetFlow của Cisco là Darren Kerr và Barry Bruins vào năm 1996 và phát triển một công nghệ mạng
lưới giám sát giao thông, hiện nay được xây dựng vào hầu hết các router Cisco, Juniper, Ex-treme,
Harbour Mạng và các nhà cung cấp thiết bị mạng khác cũng hỗ trợ NetFlow công nghệ, mà đã dần
trở thành một tiêu chuẩn chấp nhận được cho tất cả.

NetFlow chính nó là một giao thức mạng lưới giao thông thống kê, mà nguyên tắc chính là dựa trên
mạng lưới truyền dữ liệu gói, các gói lân cận liên tục thường được gửi đến địa chỉ IP cùng một đích
đến, cùng với cơ chế cache bộ nhớ cache, khi các quản trị mạng để mở NetFlow router hoặc chuyển
đổi chức năng giao diện, điện thoại sẽ nhận được một gói tin trong việc phân tích các tiêu đề dữ liệu
gói để có được thông tin giao thông, và các thông tin lưu lượng gói tin nhận được biên dịch vào một
khoản Flow, trong NetFlow thỏa thuận Flow được định nghĩa là một hướng duy nhất giữa hai điểm
cuối của một dòng dữ liệu liên tục, có nghĩa là mỗi kết nối sẽ là một bản ghi tương ứng dữ liệu 网络
thành hai dòng văn bản, trong đó một khách hàng Lian Ji Lu từ Kehu đến máy chủ, Lingwaisuizhe
một hồ sơ trả lại từ phía máy chủ với thông tin khách hàng.

Thiết bị mạng để phân biệt mỗi trường sau một Flow: địa chỉ IP nguồn (source IP address), số cổng
nguồn (source port number), mục đích của địa chỉ IP (địa chỉ IP đích), điểm đến cổng số (điểm đến
cổng số), loại giao thức (protocol type), dịch vụ kiểu (loại dịch vụ) và đầu vào giao diện bộ định
tuyến (router đầu vào giao diện), bất kỳ thời gian khi điện thoại nhận được một gói tin mới, nó sẽ
kiểm tra các bảy lĩnh vực để xác định xem các gói tin bất kỳ hồ sơ của Flow, bất kỳ dữ liệu thu thập
được sẽ là một gói phần mềm mới của thông tin giao thông có liên quan tích hợp vào các hồ sơ lưu
lượng tương ứng, nếu không có gói dữ liệu tương ứng với lưu lượng, ông sẽ tạo ra một hồ sơ mới để
lưu trữ các dòng chảy có liên quan dòng chảy của thông tin. Bởi vì thiết bị được giới hạn bộ nhớ
cache tốc độ cao không có thể phục vụ không hạn chế ngày càng tăng của Flow Records, Suo Yi
NetFlow cũng định nghĩa giao thức kết thúc cơ chế Flow Jilu, để duy trì mạng lưới Shebei Flow Xin Xi
Zhong Chucun không gian.

Khi thành lập của bất kỳ một trong ba trường hợp sau đây, router sẽ chuyển gói tin UDP đến việc
chấm dứt Flow Records xuất khẩu cho người dùng trước khi được các thiết bị NetFlow thu thập dữ
liệu: Khi một chuyển gói giao thức trong lĩnh vực màn hình hiển thị flag trong việc truyền tải thông
điệp để hoàn tất như pm TCP FIN; giao thông dừng quá 15 giây; dòng chảy tiếp tục gửi, mỗi 30
phút tự động chấm dứt.

Mặc dù hầu hết các mạng lưới hỗ trợ phần cứng NetFlow nhà cung cấp, NetFlow phiên bản nhưng có
rất nhiều, bao gồm NetFlow Phiên bản 5 là một định dạng dữ liệu NetFlow chung có chứa các lĩnh
vực: Địa chỉ IP nguồn (máy nguồn địa chỉ IP), Điểm đến Địa chỉ IP ( các máy chủ lưu trữ địa chỉ IP
đích), Nguồn TCP / UDP Port (Nguồn số Port sử dụng bởi các máy chủ), Điểm đến TCP / UDP Port
(máy điểm đến cổng số được sử dụng), Next Hop Địa chỉ (địa chỉ của thiết bị đầu cuối tiếp theo),
Nguồn AS Số (từ máy chủ thuộc về AS số), Điểm đến AS số (máy đích thuộc về AS số), số xe
Nguồn Mask (mặt nạ mạng con của nguồn lưu trữ tên miền của họ), Điểm đến số xe Mask (máy
đích subnet mask của họ code), Protocol (giao thức truyền thông được sử dụng), TCP Flag (Gói kiểm
soát đánh dấu), Loại hình dịch vụ (QoS Yêu cầu), bắt đầu sysUpTime (bắt đầu từ thời gian), End
sysUpTime (kết thúc thời gian), đầu vào ifIndex (dòng thông tin vào giao diện số), đầu ra ifindex
(thông tin lưu chuyển trên giao diện số), Packet Count (số gói tin), Byte Count (Byte số).

Zhichi NetFlow tính năng của thiết bị mạng sẽ được thu thập từ các dòng chảy thông tin của họ để
UDP Shu Ju Bảo gửi Yuxianshezhi tốt Liuliangjieshou Chư Kỵ, với bộ sưu tập phần mềm NetFlow
Xiangguan, Shi Yuan những dữ liệu này lưu thông xử lý, lưu trữ cung cấp sau cho có liên quan ứng
dụng.

NetFlow trên các ứng dụng liên quan đến an ninh mạng

NetFlow của hồ sơ là cung cấp đủ thông tin để giúp mạng lưới kiểm soát mạng lưới quản lý thuộc
thẩm quyền của các dị thường mạng, và vì NetFlow không yêu cầu phân tích dữ liệu nội dung gói
tin, giúp giảm thiểu các thiết bị mạng 运算 phí chế biến, 所以 's tốt cho phân tích tốc độ cao, bận rộn
môi trường mạng.

Kể từ khi NetFlow nguồn dữ liệu là lớp mạng dữ liệu chuyển tiếp thiết bị, ba thiết bị từ các dữ liệu
thu thập bởi các thông tin NetFlow để giúp nắm bắt tình hình tổng thể của mạng, và thông qua các
phân tích thích hợp của NetFlow thông tin có thể giúp nhà quản lý trong các ổ dịch worm hay mạng
lưới phân tích hành vi bất thường trong những vấn đề nhanh chóng mạng ban đầu. Tiếp theo, chúng
tôi tiếp tục giới thiệu việc sử dụng các thông tin có trong NetFlow để phát hiện hành vi bất thường.

Từ góc nhìn của lớp mạng

Nhìn chung, các cuộc tấn công mạng sẽ có một số tính năng có sẵn để công nhận, chúng tôi có thể
nhận được các tính năng này để các dữ liệu NetFlow với so sánh, và sau đó xác định được những
hành vi bất thường. Chúng ta có thể phân tích dữ liệu NetFlow cảng số lĩnh vực chủ đích sử dụng để
xác định các thông tin lọc tương ứng NetFlow về cuộc tấn công; Ngoài ra, chúng tôi có thể sử dụng
hợp lý nguồn hoặc địa chỉ IP đích để xác định các bất thường; Ngoài ra, địa chỉ Internet được giao tổ
chức (Internet chức cấp phát số, IANA) IP, địa chỉ của ba phần sau đây dành cho các mạng cá nhân
10.0.0.0 ~ 10.255.255.255,172.16.0.0 ~ 172.31.255.255, và 192.168.0.0 ~ 192.168.255.255, các
phần của địa chỉ mạng không thể xuất hiện bên ngoài môi trường mạng, nhưng vì thiếu sót trong
thiết kế mạng ban đầu, router nhận các gói tin cho trường địa chỉ nguồn không xác nhận, do đó, kẻ
tấn công có thể sử dụng lỗ hổng này giả mạo nguồn 地址 IP (IP Spoofing) để khởi tấn công, để tránh
bị truy nguồn từ nguồn gốc của cuộc tấn công, vì vậy chúng tôi có thể nhận được từ các nguồn dữ
liệu NetFlow của chúng tôi được sử dụng bởi các địa chỉ host IP (Source IP Address) lĩnh vực, để xác
định địa chỉ nguồn giả mạo của giao thông, tái sử dụng dữ liệu NetFlow trong dòng chảy thông tin
vào số lượng giao diện (Input IFindex) lĩnh vực thông tin, để xác định các bộ định tuyến thượng
nguồn để kết nối với giao diện này, và yêu cầu họ giúp đỡ trong việc điều tra hoặc điều trị.
Một số hành vi bất thường có thể được kết nối với một hoặc một số địa chỉ cụ thể. Ví dụ, trong năm
2001, gây ùn tắc nghiêm trọng trong sâu Code Red, phân tích của chúng tôi NetFlow dữ liệu thu
thập có thể được tìm thấy rằng các cuộc tấn công của sâu này có một đặc tính, mỗi điểm đến Flow
của TCP / UDP port giá trị trường sẽ bằng 80, Packet Count lĩnh vực giá trị bằng 3, Byte Count lĩnh
vực giá trị bằng 144bytes, quản lý mạng có thể chương trình viết để phân tích dữ liệu NetFlow thu
thập để xác định với các đặc tính của dữ liệu lưu lượng có thể được xác định trong hệ thống có nguy
cơ thuộc thẩm quyền của Code Red worm chủ nhà, và buộc đội chủ nhà ra khỏi dây chuyền lắp ráp
hoặc chặn các cổng vật lý để giảm thiểu tác hại của sâu. Sử dụng các đặc tính của các cuộc tấn
công đã được thu thập thông tin NetFlow với các lĩnh vực có liên quan để xác định các cuộc tấn công
có thể hơn có thể gây ra thiệt hại nghiêm trọng cho mạng trước, có biện pháp để giảm bớt khả năng
xảy ra sự hình thành của các vấn đề nghiêm trọng.

Từ góc nhìn của lớp vận tải

Chúng tôi Tongguo có thể NetFlow dữ liệu để xác định số lượng lớn nhất của các mạng để thiết lập
phiên sở tại, Yin Wei, nếu một máy chủ lưu trữ trên máy chủ Teding lớn bất thường số lượng kết
nối, có thể đại diện cho sâu mới, tấn công từ chối dịch vụ, mạng quét Đặng khả năng như là một
máy chủ thông thường sẽ có một liên kết đến các tần số bình thường, nếu bình thường máy chủ bị
nhiễm sâu này, bạn có thể bắt đầu sản xuất hành vi của mạng không bình thường, bắt đầu sản xuất
một số lượng lớn các kết nối của nhu cầu bên ngoài để tìm mục tiêu tiếp theo của nhiễm trùng,
chúng tôi worm từ các máy chủ bị nhiễm một số lượng lớn các NetFlow thông tin tìm thấy trong các
nhu cầu kết nối bên ngoài, cùng một nguyên tắc, nếu thẩm quyền của người sử dụng mạng để tải
về từ mạng lưới các nỗ lực tấn công từ chối dịch vụ tấn công chương trình công cụ phát động các
cuộc tấn công, hoặc sử dụng bằng cách sử dụng chức năng quét các công cụ như Nmap quét một
URL cụ thể để xác định mục tiêu chủ nhà rằng có thể có điểm yếu hoặc dễ bị tổn thương, chúng tôi
có thể tìm thấy từ các dữ liệu NetFlow trong một địa chỉ cụ thể từ các tên miền đã gửi một số lượng
lớn các phiên họp.

Ngoài việc phát hiện tấn công mạng, chúng tôi cũng có thể tìm hiểu bằng cách phân tích các hành vi
theo cách phiên web của lạm dụng, chẳng hạn như phân tích dữ liệu NetFlow trong số điểm đến
cổng máy chủ được sử dụng bởi các thông tin, bằng cách phân tích các cổng 25 bên ngoài để kết nối
các thông tin có liên quan, nếu một trạm chủ nhà số 25 bên ngoài cổng để kết nối một thời gian
nhất định vượt trên mức bình thường, chúng tôi hợp lý có thể nghi ngờ rằng máy này được sử dụng
để phân phối thư rác, hoặc qua e-mail worm, chúng ta có thể áp dụng cùng một nguyên tắc để
phân tích là emule và các peer-to-peer chia sẻ tập tin phần mềm thường được sử dụng 4.662 TCP /
UDP 4.672 cảng, để xác định các hành vi lạm dụng mạng và xử lý thích hợp để giảm thiểu tác hại
do mình gây ra.

Sử dụng TCP kiểm soát để lọc ra nghi ngờ Flow

Nhưng đối với các mạng lớn, NetFlow thông tin liên quan đến các cuộc tấn công khác có thể được
pha loãng NetFlow thông tin bình thường, chẳng hạn như nhiễm trùng ban đầu hoặc hacker thận
trọng, có thể sử dụng dòng chảy bình thường để trang trải các hành vi khác thường của nó. Ngoài
ra, khi chúng ta gặp phải phương pháp mới của cuộc tấn công hay virus, có thể không được là người
đầu tiên nắm bắt được các đặc tính lưu lượng, cũng không bằng cách so sánh để xác định đặc điểm
của giao thông bình thường. Để nhanh hơn và hiệu quả giao thông phát hiện bất thường, chúng tôi
cố gắng để đăng nhập vào kiểm soát phân tích TCP, hy vọng sẽ tiếp tục giảm nhu cầu để phân tích
các dữ liệu NetFlow, cũng như phát hiện sớm giao thông bình thường. Của sâu, vì mạng lưới của
mình bị nhiễm một số lượng lớn các máy chủ thông qua bản chất tự sao chép của sâu trong một
thời gian rất ngắn cố gắng hết sức để phát hiện nhiễm trùng có thể có của mục tiêu, và hầu hết các
sâu máy tính đang lây lan qua giao thức TCP để truyền, Vì vậy, chúng ta có thể kiểm soát từ những
lá cờ tìm thấy một số manh mối TCP, như chúng ta thu hẹp danh sách nghi ngờ là dựa.

Một quá trình kết nối TCP bình thường thành lập, những khách hàng đầu tiên sẽ gửi một gói SYN
đến host đích dữ liệu, sau đó các máy chủ đích sẽ đáp ứng với một gói SYN ACK /, khách hàng nhận
được gói tin này, sau đó quay trở lại để gói tin đích đến các máy chủ ACK để hoàn tất việc kết nối,
nhưng không thể thành công thiết lập kết nối mọi lúc, bởi vì NetFlow sẽ được truyền cho từng phiên
khi tất cả các cờ TCP kiểm soát tất cả lưu trữ trong một lá cờ dữ liệu kiểm soát gói tin (TCP Flag)
trong lĩnh vực này , để chúng ta có thể thông qua các lĩnh vực thông tin này để giúp chúng tôi đoán
các đặc tính của một host nào đó trên mạng.
Flow nếu một kết nối TCP được thiết lập đúng cách, kiểm soát các gói dữ liệu (TCP Flag) trường sẽ
ghi có chứa ACK, SYN, FIN và kiểm soát các dấu hiệu khác, nhưng nếu các cử chỉ bị nhiễm giun,
không phải là do lựa chọn ngẫu nhiên của chủ nhà phải tồn tại, hoặc thậm chí nếu không có việc mở
cửa sâu, nhưng các máy chủ mục tiêu bị nhiễm bệnh với các cổng TCP, trong trường hợp này,
NetFlow thông tin từ các máy chủ bị nhiễm trực tuyến bên ngoài các gói dữ liệu được tạo ra bởi cờ
kiểm soát lưu lượng (TCP Flag) trường sẽ chỉ kiểm soát của cờ TCP SYN đó, theo các nhà quản lý
mạng lưới đặc trưng này có thể bắt đầu kiểm soát dữ liệu gói cờ NetFlow (TCP Flag) lĩnh vực, chỉ có
SYN flag soát lưu lượng dữ liệu được lọc ra theo cách này chúng ta có thể làm cho lớn một phần của
quy tắc dòng chảy bình thường, lần này chúng tôi đang nghi ngờ về dữ liệu từ ngoại lệ để tìm ra
dòng sản sẽ giảm bớt những khó khăn của nhiều người, có thể nhanh chóng xác định vấn đề, mà
còn tránh lãng phí không cần thiết của các tài nguyên máy tính.

Sử dụng thông điệp ICMP để giúp lọc ra nghi ngờ Flow

Một số con sâu hoặc mạng sẽ sử dụng ICMP để thực hiện các cuộc tấn công, chúng ta có thể lọc ra
dữ liệu từ NetFlow, bất thường hành vi của chủ nhà, lần đầu tiên xác định các giao thức truyền
thông (giao thức) giá trị lĩnh vực 1 Flow, thay mặt cho các giao thức truyền thông được sử dụng cho
ICMP, sau đó là số cổng theo chủ đích (đích TCP / UDP) của một giá trị lĩnh vực đại diện bởi các
thông điệp ICMP, chẳng hạn như các máy chủ đích đến số cổng (điểm đến giá trị trường TCP / UDP)
của năm 2048, đã được chuyển đổi thành bát phân 800, các chữ số đầu tiên đại diện thay mặt cho
ICMP loại, hai chữ số cho các loại ICMP trong các mã, có nghĩa là tổng thể là ICMP echo yêu cầu,
nhưng nếu giá trị của 769 trường, đã được chuyển đổi sang bát phân 301, code này đại diện cho
ICMP host unreachable; Nếu giá trị là 771 trường thay mặt cho ICMP port unreachable; lĩnh vực giá
trị là 768 thay mặt cho mạng ICMP unreachable. Đầu tiên chúng ta có thể tìm thấy các giao thức
truyền thông được sử dụng cho các ICMP của Flow, nhằm tiếp tục lọc ra số cổng máy chủ sử dụng
cho các 768.769.771 của Flow, một phân tích sâu hơn để xác định có thể có hành vi bất thường.
Bằng cách này một số lượng lớn dữ liệu NetFlow từ danh sách nghi ngờ để lọc ra, và sau đó danh
sách các dữ liệu lưu lượng để phân tích thêm, nó có thể giúp các nhà quản lý mạng một cách nhanh
chóng xác định được vấn đề.

Khi băng thông mạng được phát triển nhanh chóng hiện nay, chỉ có việc triển khai các NetFlow
trong lớp lõi có thể dẫn đến hiệu suất thiết bị. Harbour Networks có thể bây giờ hội tụ lớp
FlexHammer 5.210 series, lõi lớp BigHammer 6.800 loạt để cung cấp các tính năng NetFlow tương
ứng, thông qua cốt lõi và lớp tập hợp của việc triển khai phân phối của NetFlow, bạn có thể đảm
bảo rằng hiệu suất mạng dưới tiền đề của việc cung cấp loại virus âm thanh và dị thường mạng
kiểm soát cơ chế, để giúp các nhà quản lý mạng lưới bảo trì mạng lưới hoàn chỉnh, mạng lưới trung
tâm cho các trường đại học khác nhau làm giảm áp lực hành chính.