前言
netflow有多个版本,而且分华为和思科,目前国内而言 思科的 V5、V9 应用比较广泛。我开发的功能只需要采集IPV4数据,用到的是V5。
介绍
Netflow v5版本的数据包,是由多个pdu组成。每个PDU包中包含源目的ip,下一跳,数据流输入输出接口的索引号、pdu包数、pdu字节数、PDU流中看见第一个数据包的时间和看见最后一个数据包的时间、源目的端口号,填充、tcp的标志位、协议类型、服务类型、源目的匿名系统ID、源目的ip子网掩码等。
wireshark中查看思科的netflow数据包,需要右键—》decode as—>CFLOW。
字段说明:
- Version : netflow版本
- Count: flow记录数
- Sysuptime: 系统运行时间
- EngineType: 设备类型
- EngineID:设备ID号
- SamplingMode:采样模式配置
- SampleRate:统计采样率
- Timestamp:时间戳
- FlowSquence:流序列号
- PDU字段:
- Srcaddr 源ip地址
- Dstaddr 目的ip地址
- Nexthop 数据包的下一跳
- Inputint 数据流输入接口的索引号
- Outputint 数据流输出接口的索引号
- Packets PDU中包含的包的数量
- Octets PDU中的字节总数
- Starttime PDU流中看见第一个数据包的时间(单位:毫秒)
- Endtime PDU流中看见最后一个数据包的时间(单位:毫秒)
- Srcport 数据流的源端口号
- Dstport 数据流的目的端口号
- Padding 填充
- Tcp flag tcp标志位,协议状态(URG=32,ACK=16,psh=8,RST=4,SYN=2,FIN=1)例如:若tcp flag=27表明这个流有SYN,ACK,PUSH,FIN(2+16+8+1=27)
- Protocol 4层的协议类型 ICMP=1 ,TCP=6,telnet=14,UDP=17
- Ip TOS 服务类型,传输过程中的特殊处理,分为最小时延,最大吞吐量,最高可靠性,最小费用
- SrcAS 源匿名系统ID
- DstAS 目的匿名系统ID
- SrcMask 源ip子网掩码
- DstMask 目的ip子网掩码
- Padding 两个填充字节
