因为我不太了解网络中的会话定义,所以我有一个困惑,即 netflow 记录是否等于会话?如果我一次通过 FTP 将一些文件上传到服务器,并产生 50
条 netflow 记录(源 IP 和目标 IP 相同,但端口不同)。进程等于 50 个会话,还是服务器关闭连接后的进程仅等于 1 个会话?
比如这张照片:
多谢 :)
问问题
684 次
1 回答
1
简短的回答;这一切都取决于。
处理网络流时存在许多因素和变量,无论是 Cisco 的 Netflow 格式(各种版本)、IETF 的 IPFIX 还是其他类似格式。如果我们采用一种非常常见的格式,Netflow v5,一个流由 5 或 7 个元组定义(取决于定义的详细程度)。这些元组是;源和目标 IP 地址、源和目标端口和协议(以及服务类型和入口接口索引)。此外,Netflow v5 是一种单向网络流协议,这意味着它将把来自服务器的连接与去往服务器的连接分开处理。因此,任何在一个方向上匹配该 5/7 元组定义的 IP 数据包都将构成一个网络流并产生一个 Netflow 记录。
好像这还不够,还有实现特定的变量和限制,可能会将会话拆分为多个记录。通常流协议实现各种超时,以便能够有效地收集和存储数据。TCP 会话可能会在很长一段时间内打开连接,这使得流生成器很难在内存中保持和维护流。一些网络流格式能够定位这样的拆分记录并将它们合并为一个单独的流记录。
因此,总而言之,开始使用网络流的网络分析师很容易陷入认为一条记录等于一个会话的陷阱。这种假设有时可能是正确的,但并非总是如此。
于 2018-05-31T08:24:36.440 回答