《网络安全知识体系》
安全运营和事件管理(五):
网络聚合:网络流
数据包捕获的庞大规模使得需要获取网络活动的综合视图。这就需要在相对较低的层上对流量的综合聚合视图。网络聚合是用于计算共享某些特性(如源、目标、协议或接口)的数据包的机制。当数据包通过其接口时,网络设备将执行这些计数。
Netflow是一种广泛使用的网络监控工具,用于检测和可视化网络中的安全事件。简而言之,该协议记录流经路由器网络接口的数据包标头的计数器。最初由思科开发,现已标准化为IPFix,RFC7011。
由于Netflow是由网络设备提供商开发的,因此它在网络中集成得非常好,并广泛用于网络管理任务。它是标准化的,即使商业名称不同,支持该技术的制造商也会收集类似的信息。它最强大的用途当然是可视化网络通信和关系,并突出显示通信模式。可视化分析提供了一种用户友好的方式来了解异常及其影响。因此,Netflow也被广泛用于网络安全任务。
但是,Netflow可能会在计算和存储方面受到性能下降的影响。处理计算Netflow计数器的数据包需要访问路由器CPU(中央或接口板上)。这大大降低了网络设备的性能。较新的路由器现在能够在硬件层生成网络流记录,从而限制了性能影响。另一种方法是跨越或分路网络接口,并独立于路由设备生成网络流记录。
最初,为了限制CPU性能影响,运营商通常在采样模式下部署Netflow,其中每千个数据包中只有一个被分析。因此,Netflow记录的视图可能非常有限,并且可能完全错过未达到采样规模的事件。因此,除了大规模的拒绝服务事件之外,很难仅依靠采样的Netflow来确保安全。
往期更精彩:
原文始发于微信公众号(祺印说信安):网络安全运营和事件管理(五):网络聚合-网络流
评论