问题标签 [netflow]

我试图发现什么样的应用程序在我的网络中工作（例如 Facebook、Youtube、Twitter 等）。不幸的是，我无法进行深度数据包检查，我所拥有的一切都是 NetFlow 跟踪。我正在考虑使用 DNS 服务器解析 IP 地址并检查流的域名。但是，如果应用程序使用不包含应用程序名称的域怎么办？是否有可能找到使用特定应用程序/网站的所有 IP 地址？

我在 Orion Report Writer for Solarwinds Netflow Traffic Analyzer 中运行 SQL 查询，并尝试为来自相同通用来源的特定对话添加数据使用量。在这种情况下，它是 netflix。我的查询取得了一些进展。

所以我有一个输出过滤除 netflix 会话（Full_Hostname_A）和每个会话的总使用量（Sum_Of_Bytes_Transferred）之外的所有内容

我想将 Sum_Of_Bytes_Transferred 相加以获得列出的所有 netflix 会话的总使用量，该会话将输出到 Total_Bytes。我创建了 Total_Bytes 列，但不知道如何输出总计。

对于一些要求的澄清，以下是上述查询的输出：

我希望将 Total_Bytes 列全部加起来为一个数字。

我使用 jflow 来捕获 netflow 数据包。通过运行打印示例，我可以观察到这种输出。

这似乎打印在 DatagramSocket.receive(DatagramPacket) 方法中。我如何自己打印这些详细信息，例如 netflow 记录的主机地址、目标地址等。

我也无法弄清楚上述输出的最后两个参数是什么意思。

我使用 jflow-0.3[1] 来收集和解码从路由器接收到的 netflow 记录。nettrack.net.netflow.Flow.java 类包含从接收到的记录中解码必要数据的代码。我调用了它的 getFirst() 函数，它返回“此数据收集期开始时的协调世界时 (UTC) 秒时间。 ”[2]。然后我使用以下代码将其转换为日期时间格式。

但是当我运行它时，我观察到日期的奇怪结果，例如 Monday,March 2,1970 4:21,PM, Sunday,April 27,2059 4:17,AM 等。UTC 值也从非常小的值（如 300）变为非常大的值（如 3154137089），这没有任何意义。这里有什么问题？我该如何解决这个问题？

1. https://github.com/aptivate/netgraph/tree/master/jflow-0.3
2. http://www.cisco.com/en/US/docs/net_mgmt/netflow_collection_engine/6.0/tier_one/user/guide/data.html

我正在使用jnca库来收集路由器发送的 NetFlow 记录。路由器发送的 NetFlow 记录版本为版本 9。

当从 Wireshark 观察到 NetFlow 数据包时，模板 id 为 263 的流集包含有关发起方八位字节和响应方八位字节的数据，可用于确定与流相关的字节数。

但问题是 jcna 无法获得这些值。对于八位字节，它始终显示为零。

这是用于获取 dOctets 的代码段。即使对于模板 ID 263，这也会返回零。

但是，当它根据 NetFlow 模板 id 263 进行计算时，它会给出正确的数据。（给发起者八位字节并获得响应者八位字节 46 应替换为 50，因为特定记录的长度为 4 个字节）

46 是发起方八位字节记录在该特定 NetFlow 数据包中的位置。（使用 Wireshark 记录获得。）

jnca有问题吗？希望熟悉jcna的人能给我一些帮助。

是否有任何标准方法来保存 netflow 数据（按端口和目标 IP 聚合，按源 IP 区分）？

数据输入：netflow数据（源IP、时间戳、八位字节），更新非常频繁

请求输入：IP、范围（两个时间戳）

请求输出：八位字节数

是否有可能获得 O(log(n)) 或更好的数据存储和请求？如何？

我正在使用 nfcapd 从 netflow 收集数据。此外，我们正在监控所有设备的输入流量和输出流量。

我对netflow向我发送哪些数据感到困惑。

例如，
在 5 分钟内，我收到 netflow 数据，这些数据在特定链接 (srcip,dstip,srcifindex,dstifindex) = 10K 字节上给出 sum(no_of_bytes)。

而“流量”提供 20K 字节，“流量”提供 10K 字节（大约）。

这是什么意思 ？

我的问题是：特定链路的 netflow 数据给出的总和应该与链路任一端口上的哪个流量相匹配？

我一直在使用 netflow 收集 n/w 数据并将其转储到我的数据库中。

Netflow 为我提供了传输的 NoOfBytes 以及流量速度 (bps)。但是，这之间似乎存在矛盾。

我计算 bps 的公式是：

但是，这不适用于我在 netflow 中收到的记录。

这是我的数据库中的一些记录。

*********************** 2. 行***********************

在上面的行中，我们可以看到传输的 NoOfBytes 比 Trafficbps 中显示的要少得多。谁能解释一下这个概念吗？

编辑

根据 JMurphy 以下评论的建议，让我假设 bps 值是正确的。

现在我的疑问是，假设收集 5 分钟的数据并收集所有流量。在这里，使用的总带宽是多少？

它是所有 bps 的总和还是所有 bps 的最大值或它们的平均值？

我正在开发一个软件，它从我拥有的虚拟机中捕获通过我的防火墙（5.4 OpenBSD 虚拟机）的每个 udp 数据包，并将数据包保存在 MySQL 数据库中。

我的代码基本上是：

代码工作得很好，我的问题是当我尝试查看保存在数据库中的内容时，有很多奇怪的字符，因为它是二进制的（我认为），我无法读取它来获取我需要的信息（流量记录格式，可以在这里查看）

我的表很简单：有 2 列，代码（int，自动增量）和另一列，fluxo（varbinary（10000））。这是我在 MySQL Workbench 上单击“在编辑器中打开值”时看到的内容： 数据包内容

我正在尝试使用 SQL 数据库中的 netflow 数据创建 DoS 检测程序。到目前为止，我对如何实现这一点有了大致的了解，但需要一些指导。

到目前为止的程序流程是：

我的逻辑是：

1. 查找过去 8 小时内的所有唯一流。
2. 使用此数据查找这些唯一流中的每一个的所有流数据。
3. 将创建的数组拆分为每个流的子数组或单独的数组。
4. 一旦每个流都有自己的数组，平均数据包和数据以获得伪基线。
5. 将最新的流量条目与这些平均值进行比较，并确定是否存在异常（一个方向的数据流增加/减少超过 200%）。
6. 如果检测到异常，请发送一封有关该事件的电子邮件警报。
7. 等待 60 秒并恢复循环。

我知道代码远未完成，可能非常草率，但非常感谢任何帮助！