零源端口号表示什么?Netflow 能否告知非 TCP 或 UDP 连接?
谢谢。
答案1
零端口号通常表示相关会话是不使用端口号的 IP 协议。NetFlow 可以报告任何 IP 会话。IANA 分配的协议号的最新列表可用这里。例如,您很有可能看到一些 ICMP 流量。
根据 NetFlow 的版本,有许多可选字段。NetFlow 5 非常有限,但 NetFlow 9/IPFIX 可以包含 QoS、TCP 标志、VLAN 和其他字段,包括特定于供应商的字段。
我从上面的评论中看到,您的 NetFlow 源位于防火墙内。如果您的探测器与防火墙位于同一主机/设备上,许多导出器会报告防火墙前的流量,因此您很可能看到的是外部扫描。您还应该考虑恶意软件感染的可能性,这可能会导致内部扫描行为。
答案2
Netflow 是 Cisco 协议,它仅允许:
- 源 IP 地址
- 目标 IP 地址
- UDP 或 TCP 的源端口,其他协议为 0
- UDP 或 TCP 的目标端口、ICMP 的类型和代码,或 0(对于其他协议)
- IP 协议
- 入口接口 (SNMP ifIndex)
- IP 服务类型
答案3
根据 RFC1700,TCP 和 UDP 0 都是保留的,但有效。由于规范中未定义在这些端口上建立的连接的行为,因此不同的操作系统会以不同的方式处理这种情况;该行为可用于对目标主机的操作系统进行指纹识别。基本上,您正在接受扫描。
答案4
我可以看到端口值零与 TCP 或 UDP 协议结合的以下可能性
- 端口号确实为零
- IP 流量已分散
我认为 netflow 的一个缺点是这两种情况可能无法区分,因为思科的吝啬鬼在端口字段上少了一个字节,所以没有空间容纳空值。