Netflow 数据包包含零个端口号?

Netflow 数据包包含零个端口号?

零源端口号表示什么?Netflow 能否告知非 TCP 或 UDP 连接?

谢谢。

答案1

零端口号通常表示相关会话是不使用端口号的 IP 协议。NetFlow 可以报告任何 IP 会话。IANA 分配的协议号的最新列表可用这里。例如,您很有可能看到一些 ICMP 流量。

根据 NetFlow 的版本,有许多可选字段。NetFlow 5 非常有限,但 NetFlow 9/IPFIX 可以包含 QoS、TCP 标志、VLAN 和其他字段,包括特定于供应商的字段。

我从上面的评论中看到,您的 NetFlow 源位于防火墙内。如果您的探测器与防火墙位于同一主机/设备上,许多导出器会报告防火墙前的流量,因此您很可能看到的是外部扫描。您还应该考虑恶意软件感染的可能性,这可能会导致内部扫描行为。

答案2

Netflow 是 Cisco 协议,它仅允许:

  • 源 IP 地址
  • 目标 IP 地址
  • UDP 或 TCP 的源端口,其他协议为 0
  • UDP 或 TCP 的目标端口、ICMP 的类型和代码,或 0(对于其他协议)
  • IP 协议
  • 入口接口 (SNMP ifIndex)
  • IP 服务类型

答案3

根据 RFC1700,TCP 和 UDP 0 都是保留的,但有效。由于规范中未定义在这些端口上建立的连接的行为,因此不同的操作系统会以不同的方式处理这种情况;该行为可用于对目标主机的操作系统进行指纹识别。基本上,您正在接受扫描。

答案4

我可以看到端口值零与 TCP 或 UDP 协议结合的以下可能性

  • 端口号确实为零
  • IP 流量已分散

我认为 netflow 的一个缺点是这两种情况可能无法区分,因为思科的吝啬鬼在端口字段上少了一个字节,所以没有空间容纳空值。

相关内容