路由器安全-NetFlow
1、NetFlow介绍
- 提供高层次的诊断,分类和识别网络异常。
- 使用NetFlow来检查哪些行为改变明显的攻击是非常有效的。
- 就像Wiretap一样捕获数据包。
- NetFlow像电话账单。(谁和谁在通话,通过什么协议和端口,多长时间,速度如何,持续多久等)
- 路由器和交换机作为一个流量遥感器,推送流量信息到NetFlow Collector(流量收集器)。

NetFlow和Flexible NetFlow
一个流是一组拥有相同键值的数据包(7键值:源目端口、源目IP、协议、接口和CoS(TLV))
键决定了什么是流,非键是我们要收集的是什么。
灵活的NetFlow支持对键值和非键值的自定义,而标准的NetFlow是不允许修改键值的。
灵活的NetFlow的优势:
①高扩展性,可汇聚的高容量的流信息。
②增强的流架构,专注于额外的安全监控能力。
③灵活的键值和非键值配置。
④export format
⑤全方位的IP和BGP的记账。
2、NetFlow的版本和用途
版本5是标准的NetFlow,而版本9是灵活的NetFlow。

用途:
网络监控、应用监控和分析、用户监控和分析、网络规划和分析、安全分析、记账和审计。
Cisco IOS Flexible NetFlow Technology Q&A
https://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/flexible-netflow/prod_qas0900aecd804be091.html
3、NetFlow组件和配置:
组件:
①定义NetFlow要收集的信息(Key和nonkey)
②汇聚Record和Exporter并且调用到接口
③定义导出NetFlow的目的和版本
④定义流量的采样
配置:
①创建一个NetFlow的输出目的
R1(config)#flow exporter Net-Exporter
R1(config-flow-exporter)#destination 192.168.1.100 <<<收集器的地址
R1(config-flow-exporter)#transport udp 9999 <<<端口号自己定义,但是和收集器上保持一致
R1(config-flow-exporter)#export-protocol netflow-v9
②创建一个自定义的流量记录
match后面配置的是“键”;collect后面配置的是“非键”。
R1(config)#flow record Net-Record
R1(config-flow-record)#match ipv4 source address <<<匹配的是源目IP
R1(config-flow-record)#match ipv4 destination address
R1(config-flow-record)#collect counter bytes <<<收集字节计数
③创建一个流量监控
R1(config)#flow monitor Monitor01 <<<定义监控名
R1(config-flow-monitor)#record Net-Record <<<调用自定义流量记录
R1(config-flow-monitor)#exporter Net-Exporter
④再创建一个流量监控
R1(config)#flow monitor Monitor02
R1(config-flow-monitor)#record netflow ipv4 original-input <<<定义记录类型:经典NetFlow
R1(config-flow-monitor)#exporter Net-Exporter <<<为监控指派NetFlow的输出
⑤接口下面调用
内部接口:
R1(config)#int f0/0
R1(config-if)#ip flow monitor Monitor01 input
外部接口:
R1(config)#int f1/0
R1(config-if)#ip flow monitor Monitor02 input
其他配置:
-配置flow-top-talker(全局配置了就可以,不用调用)
R1(config)#ip flow-top-talkers
R1(config-flow-top-talkers)#top 5 <<<收集前5的源
R1(config-flow-top-talkers)#sort-by packets <<<排序标准
R1(config-flow-top-talkers)#match protocol 1 <<<匹配ICMP协议,ICMP协议号为1
-配置采样MAP
R1(config)#flow-sampler-map MAP
R1(config-sampler)#mode random one-out-of 10 <<<随机采样,10个包抓取一个
R1(config-sampler)#int f0/0
R1(config-if)#flow-sampler MAP
查看相关信息(NetFlow最好还是在分析器上看,设备本地不好看,另外,配置了NetFlow在分析器上要等一会儿才会有数据体现出来)
在设备上查看NetFlow数据:
show flow exporter
show flow interface
show flow monitor
show flow monitor cache format
show flow record
show sampler

我们通过top-talker能看到之前配置前5个最高流量的记录。如下截图可以看到记录了98个报文。

其他show 信息:




关于IOS NetFlow的思科文档:
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/fnetflow/configuration/15-sy/fnf-15-sy-book/fnf-fnetflow.html
路由器安全-NetFlow的更多相关文章
- 运用Ntop监控网络流量(视频Demo)
运用Ntop监控网络流量 ____网络流量反映了网络的运行状态,是判别网络运行是否正常的关键数据,在实际的网络中,如果对网络流量控制得不好或发生网络拥塞,将会导致网络吞吐量下降.网络性能降低.通过流量 ...
- Ntop监控网络流量
运用Ntop监控网络流量 ____ 网络流量反映了网络的运行状态,是判别网络运行是否正常的关键数据,在实际的网络中,如果对网络流量控制得不好或发生网络拥塞,将会导致网络吞吐量下降. 网络性能降低.通过 ...
- 真实故事:网站遭遇DOS攻击
网站遭遇DOS攻击 一个.事件背景 长假对于IT人员来说是个短暂的休整时期,可IT系统却一时也不能停.越是节假日,越可能出大问题,以下要讲述的就是一起遭受DOS攻击的案例. 春节长假刚过完,小李 ...
- CCNP路由实验之十二 MPLS
个.第3个数据包„„同样的操作.包含查询路由表.重写MAC地址,CRC校验等. 系列路由器.或者12000系列路由器. Netflow switching 通过一种标准的交换机制,处理了流的第一 ...
- Linux服务器上监控网络带宽的18个常用命令nload, iftop,iptraf-ng, nethogs, vnstat. nagios,运用Ntop监控网络流量
Linux服务器上监控网络带宽的18个常用命令 本文介绍了一些可以用来监控网络使用情况的Linux命令行工具.这些工具可以监控通过网络接口传输的数据,并测量目前哪些数据所传输的速度.入站流量和出站流量 ...
- 【流量】netflow 基础知识
摘要 记录下关于netflow的基础知识以及应用,现状 是什么 一种数据交换方式,NetFlow流量统计数据包括数据流时戳 源IP地址和目的IP地址 源端口号和目的端口号 输入接口号和输出接口号 下一 ...
- 使用spark 计算netflow数据初探
spark是一个高性能的并发的计算平台,而netflow是一种一般来说数量级很大的数据.本文记录初步使用spark 计算netflow数据的大致过程. 本文包括以下过程: 1. spark环境的搭建 ...
- 【Network telemetry】谈谈网络遥感技术,从主动探测与被动探测再到Netflow与INT
[前言] [本篇为原创]网络遥感,Network telemetry,为什么叫“telemetry”呢?我个人的理解是将网络中的数据进行一种“采集”,也就是实际上是一种网络数据的采集手段.由于工作需要 ...
- win7下利用ftp实现华为路由器的上传和下载
win7下利用ftp实现华为路由器的上传和下载 1. Win7下ftp的安装和配置 (1)开始->控制面板->程序->程序和功能->打开或关闭Windows功能 (2)在Wi ...
随机推荐
- win10显示“没有有效的IP地址”
可能你没有新建该宽带连接!!!(本人就是蠢到如此地步了_(:з)∠)_)
- 《E=MC2或一个思想的故事》
思想是起点.一切行动都以萌芽状态孕藏在思想之中,以往所做过的一切均离不开思想. 他是个纯朴的人,喜欢在乡下静静地冥想. .而科学家们却非常清楚,那些最伟大的成就都是在静默中完成的.
- css动画 自动打字,让你的文字飞舞起来
自动打字的效果 非一般的炫酷 <!DOCTYPE html> <html lang="en"> <head> <meta charset= ...
- 普及C组第一题(8.9)
2297. [noip普及组2(放到第一题)]棋盘 (好像重名了)(File IO): input:chess.in output:chess.out 题目描述 众所周知,国际象棋的棋盘是一个网格.国 ...
- c++中const变量定义与头文件包含的有关问题
在使用C++进行程序开发的时候,有个常识我们很熟悉,就是把类的定义写在.h文件中,把类的具体实现写在.cpp文件中.这毫无疑问是对的.但我们很少去思考为什么要这样做,本文结合自己的学习体会,对头文件及 ...
- 第二十五篇 玩转数据结构——链表(Linked List)
1.. 链表的重要性 我们之前实现的动态数组.栈.队列,底层都是依托静态数组,靠resize来解决固定容量的问题,而"链表"则是一种真正的动态数据结构,不需要处理固定容 ...
- 很多win10系统用户都遇见了开机发现任务管理器中有个系统中断进程占用cpu99%的问题,
很多win10系统用户都遇见了开机发现任务管理器中有个系统中断进程占用cpu99%的问题,尝试了网上提供的方法都不能得到有效的解决.下面小编就为大家详细的介绍电脑工程师提供的正确的解决姿势. 出现系统 ...
- 2019牛客暑期多校训练营(第三场) J LRU management 模拟链表操作
输入n, m,n表示n种操作,m表示最多可以容纳m个串. 第一种操作:先在容器里找是否存在这个串,如果不存在,则添加在末尾,这个串携带了一个值v. 如果存在,则先把之前存在的那个拿出来,然后在后面添加 ...
- opencv:二值图像的概念
灰度图像与二值图像 二值分割 #include <opencv2/opencv.hpp> #include <iostream> using namespace cv; usi ...
- Linux - CentOS7 命令行快捷键简介
1. 概述 CentOS7 下输入命令的一些快捷键 2. 快捷键 1. 移动 单个字符 ctrl + b/f 单个单词 alt + b/f 行首行尾 ctrl + a/e 2. 编辑 删除单个字符 c ...