我听说这些术语被广泛使用,但是还没有找到一个合理的解释来解释它们是什么、如何使用以及数据是什么样的(例如,您可以在 wireshark 中查看这些数据吗)?
答案1
Netflow 是 Cisco 路由器/交换机使用的一种协议,它汇总“已看到”的流量并将这些汇总发送到所谓的 Netflow Collector。IPFlow 是一种独立于 Cisco 的衍生产品。
然后,Netflow 收集器或报告器(软件)可以为看到的流量生成报告。
这些数据给出的常见答案是: - 我的网络中主要使用的协议有哪些(http、ftp……) - 哪些主机之间的通信最多 - 总体而言,发送量最大的主机有哪些 - ...
看: -http://en.wikipedia.org/wiki/IP_Flow_Information_Export -http://en.wikipedia.org/wiki/Netflow
同样流行的还有:sFlow。Juniper 的一项技术,其目标/动机与 Netflow 相同,但工作方式略有不同(将样本转发给收集器)。
关于 Wireshark:是的。您可以在 Wireshark 中看到此流量。就像任何其他流量一样,如果它“通过”您的捕获主机。
答案2
网流是思科用于收集 IP 流量信息的协议。
IPFlow 是一个网络流收集器。
可以在以下位置找到 Netflow 9 的 RFChttp://www.ietf.org/rfc/rfc3954.txt。
Wireshark 具有 Cisco NetFlow/IPFIX 过滤器。
答案3
Netflow 是 CISCO 为更广泛的网络流量报告格式(通常称为“流量报告”)起的名字。它相当于互联网流量的“笔录”。
流量分析(报告)可让您了解谁与谁进行了通信,而无需深入研究通信内容。这在许多方面都有帮助,因为它有助于查明网络瓶颈、找到速度变慢的原因,并查看攻击或信息泄露的来源,所有这些都无需进行深入的广泛分析。
它也有助于更宏观地了解您的网络。Wireshark(和完整数据包捕获)在繁忙的网络上可能难以处理。
答案4
我会阅读上面概述的有关 NetFlow 的维基百科。
你说的 IPFLOW 是指 IPFIX 吗?这里有一篇关于 NetFlow 与 IPFIX 的博客。 http://www.plixer.com/blog/netflow/what-is-ipfix-vs-netflow-v9/
杰克