我有一个非常大的网络跟踪文件,其中包含tcp和udp数据包。我想查找跟踪文件中的流。为此我有一个哈希函数,它接收源IP地址,目标IP地址,源在TCP的情况下我可以理解,流意味着所有具有相同5个参数的数据包相同。但是在UDP的情况下它是什么意思。在UDP的情况下,流的概念是否适用。?我是数据包处理的新手。一旦我确定了流程(tcp和udp),我该如何计算流程的方向。我是否必须查看SYN标志?如果是,我该怎么办UDP?
答案 0 :(得分:1)
Netflow适用于任何协议,包括TCP和UDP。所以要回答你的问题,是的,UDP数据包应该被视为与TCP相同。
如果您进行Netflow处理,您可能会发现this规范很有用 - 非常详细且适用于许多版本。我可以确认它是准确的,并且可以与Cisco和Juniper设备(至少版本7)一起使用