【干货分享】NetFlow类型数据性能测试工具和方法研究

NetFlow是一种数据交换方式,其工作原理是:NetFlow利用标准的交换模式处理数据流的第一个IP包数据,生成NetFlow 缓存,随后同样的数据基于缓存信息在同一个数据流中进行传输,不再匹配相关的访问控制等策略,NetFlow缓存同时包含了随后数据流的统计信息。

  工具和操作步骤总结:

  1. Netflow Simulator工具构造和发送netflow字段和模版数据流
  2. Tcpdump 抓取netflow simulator发出的数据包
  3. Wireshark工具分析 数据包,并进行拆解,导出满足测试需求的包
  4. Tcpreplay回放特定的数据包
  5. Thread.py多进程回放

步骤1:Netflow Simulator工具构造和发送netflow字段和模版数据流

netflow1

步骤2:使用Tcpdump工具抓取 netflow simulator发出的数据包

netflow2

步骤3:Wireshark工具分析数据包,并进行拆解,导出满足测试需求的包

netflow3

步骤4:使用Tcpreplay工具回放导出的数据包

tcpreplay工具

./tcpreplay -i eth0 -k 00:50:56:bf:46:98 -I 00:50:56:bf:07:89 -e 10.67.1.132:10.67.1.134 -p 5 -4 9991:6666 netflow_v9_1template_28data.pcap -l 10

主要配置参数说明:

-i 选择的发包网卡

-k 发包网卡的mac地址(源mac)

-I 接收网卡的mac地址 (目的mac)

-e 发包主机和接收主机使用网卡配置的ip地址

-p 每一秒发包的速率,单位 packets/s

-4 9999:6666 表示 源端口:目的端口

nfv9_ipv4_p1_f2_9999.pcap 要发的pacp包名称

-l 发包的数量。

步骤5:多进程启用tcprepaly回放(大数据量级)

netflow4

总结

随着系统的升级与漏洞的修补,入侵主机进而进行破坏的病毒攻击方式在攻击中所占比例逐渐减少,这些攻击转而改为恶意的消耗网络有限的资源或占用系统,进而破坏系统对外提供服务的能力;但传统的系统升级无法检测并预防此类攻击。针对此类攻击,业界提出了以检测网络数据流的方法来判断网络异常和攻击:借助实时的检测网络数据流信息,通过与历史记录模式匹配(判断是否正常)、或者与异常模式匹配(判断是否被攻击),让网络管理人员可以实时查看全网的状态,检测网络性能可能出现的瓶颈,并进行自动处理或告警显示,以保证网络高效、可靠地运转。Netflow提供网络流量的会话级视图,记录下每个TCP/IP事务的信息。

Spread the word. Share this post!

Meet The Author

Leave Comment