我有一个非常大的网络跟踪文件,其中包含 tcp 和 udp 数据包。我想找出跟踪文件中的流。为此,我有一个哈希函数,它接受源 IP 地址、目标 IP 地址、源端口、目标端口和协议。在 TCP 的情况下,我可以理解流意味着具有相同 5 个参数的所有数据包。但是在 UDP 的情况下是什么意思。在 UDP 的情况下,流的概念如何应用?我是数据包处理的新手。一旦我确定了一个流(tcp 和 udp),我如何计算出流的方向。我必须查看 SYN 标志吗?如果是,我该怎么做 UDP?
问问题
106 次
1 回答
1
Netflow 适用于任何协议,包括 TCP 和 UDP。所以要回答你的问题,是的,UDP 数据包应该被视为与 TCP 相同。
如果您进行 Netflow 处理,您可能会发现此规范很有用 - 非常详细且适用于许多版本。我可以确认它是准确的,并且适用于 Cisco 和 Juniper 设备(至少版本 7)
于 2012-04-14T23:18:22.140 回答