我有一些来自一组路由器的 Netflow 记录。这些记录包含 IPv6 流,其中有协议为 ipv6-icmp 的条目,其目标端口值为 0、1025 和 257。我知道此链接netflow 中 ipv6-icmp 的值为 0 表示回显答复。是否有任何资源可以查找 ipv6-icmp-1025 和 ipv6-icmp-257 的含义?
答案1
ICMP 和 ICMPv6 没有端口号。netflow 可能使用 0 来表示这不是 UDP 或 TCP 流。
标准类型和代码如下IANA 注册中心在 v6 中,类型 0 实际上是保留的,并且在传输过程中无效。由于这些是 8 位字段,因此它们最多只能达到 256。
这些显然与 ICMP 不对应。可能其他日志记录或数据包捕获更适合分析它。
答案2
我认为 Netflow 正在重载目标端口来表示 ICMP 类型和代码,格式为
dPort = icmp_type << 8 + icmp_code
以下是支持这一事实的文章:使用 NetFlow 检测蠕虫和异常活动(第 2 部分)但是,1025(类型:4,代码:1)和 257(类型:1,代码:1)似乎没有映射到有效的 ICMP 消息,因此可能背后还有其他编码逻辑。