NetFlow是一种数据交换方式,其工作原理是:NetFlow利用标准的交换模式处理数据流的第一个IP包数据,生成NetFlow 缓存,随后同样的数据基于缓存信息在同一个数据流中进行传输,不再匹配相关的访问控制等策略,NetFlow缓存同时包含了随后数据流的统计信息。
工具和操作步骤总结:
- Netflow Simulator工具构造和发送netflow字段和模版数据流
- Tcpdump 抓取netflow simulator发出的数据包
- Wireshark工具分析 数据包,并进行拆解,导出满足测试需求的包
- Tcpreplay回放特定的数据包
- Thread.py多进程回放
步骤1:Netflow Simulator工具构造和发送netflow字段和模版数据流
步骤2:使用Tcpdump工具抓取 netflow simulator发出的数据包
步骤3:Wireshark工具分析数据包,并进行拆解,导出满足测试需求的包
步骤4:使用Tcpreplay工具回放导出的数据包
tcpreplay工具
./tcpreplay -i eth0 -k 00:50:56:bf:46:98 -I 00:50:56:bf:07:89 -e 10.67.1.132:10.67.1.134 -p 5 -4 9991:6666 netflow_v9_1template_28data.pcap -l 10
主要配置参数说明:
-i 选择的发包网卡
-k 发包网卡的mac地址(源mac)
-I 接收网卡的mac地址 (目的mac)
-e 发包主机和接收主机使用网卡配置的ip地址
-p 每一秒发包的速率,单位 packets/s
-4 9999:6666 表示 源端口:目的端口
nfv9_ipv4_p1_f2_9999.pcap 要发的pacp包名称
-l 发包的数量。
步骤5:多进程启用tcprepaly回放(大数据量级)
总结
随着系统的升级与漏洞的修补,入侵主机进而进行破坏的病毒攻击方式在攻击中所占比例逐渐减少,这些攻击转而改为恶意的消耗网络有限的资源或占用系统,进而破坏系统对外提供服务的能力;但传统的系统升级无法检测并预防此类攻击。针对此类攻击,业界提出了以检测网络数据流的方法来判断网络异常和攻击:借助实时的检测网络数据流信息,通过与历史记录模式匹配(判断是否正常)、或者与异常模式匹配(判断是否被攻击),让网络管理人员可以实时查看全网的状态,检测网络性能可能出现的瓶颈,并进行自动处理或告警显示,以保证网络高效、可靠地运转。Netflow提供网络流量的会话级视图,记录下每个TCP/IP事务的信息。