netflow记录是否等于会话?

时间:2018-04-28 15:16:30

标签: networking netflow

因为我不太了解网络中的会话定义,所以我知道netflow记录是否等于会话? 如果我一次通过FTP上传一些文件到服务器,那就产生50个 netflow记录(相同的源和目标IP,但端口不同)。进程是等于50个会话,还是服务器关闭连接后的进程只等于一个会话?

像这张照片: enter image description here

非常感谢:)。

1 个答案:

答案 0 :(得分:1)

简短回答;这完全取决于。

使用网络流时,有许多因素和变量,无论是Cisco的Netflow格式(各种版本),IETF的IPFIX还是其他类似格式。如果我们采用非常常见的格式Netflow v5,则流量由5或7个元组定义(取决于定义的详细程度)。这些元组是;源和目标IP地址,源和目标端口和协议(另外还有服务类型和入口接口索引)。此外,Netflow v5是一种单向网络流协议,这意味着它将来自服务器的连接与进入服务器的连接分开处理。因此,在一个方向上匹配5/7元组定义的任何IP数据包将构成网络流并导致Netflow记录。在检查Netflow数据并将其与网络通信会话(根据其上下文本身也可能有不同的定义)进行比较时,必须考虑所有这些因素。

并且好像这还不够,还有一些特定于实现的变量和限制,可能会将会话拆分为多个记录。通常,流协议实现各种超时以便能够有效地收集和存储数据。 TCP会话可能会在很长一段时间内打开连接,并使流量生成器难以保持和维护内存中的流量。某些网络流格式能够定位此类拆分记录并将它们合并为一个流记录。

因此,总而言之,开始使用网络流的网络分析师很容易陷入认为一个记录等于一个会话的陷阱。这种假设有时可能是真实的,但并非总是如此。

相关问题
最新问题