返回
netflow技术与高校网络管理

netflow技术与高校网络管理

ID:9429439

大小:51.00 KB

页数:5页

时间:2018-04-30

netflow技术与高校网络管理_第1页
netflow技术与高校网络管理_第2页
netflow技术与高校网络管理_第3页
netflow技术与高校网络管理_第4页
netflow技术与高校网络管理_第5页
资源描述:

《netflow技术与高校网络管理》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、NetFlow技术与高校网络管理~教育资源库  随着网络应用的蓬勃发展,很多学校网络带宽大幅增加,而网络使用的效能却没有成正比的提升。要做到有效的网络管理,就需要通过网络监控机制搜集相关信息,主动找出问题点并加以解决。NetFlopleNetentProtocol)协议的工具从支持SNMP的网络设施搜集网络流量数据,虽然通过这种方式取得信息不会造成处理上过重的负担,但是SNMP提供的只是粗糙、简略的资料。这些信息只能让管理者发现问题,却无法进一步解决问题。  那么有没有另外一种能提供更详细网络信息的技术呢?网络探针(sniffer)或是类似的监听工具开始被部署在网络设备上,用来捕

2、捉流过的数据包并将数据包加以翻译,找出数据包头中字段的相关信息,并进一步分析其内容以取得更详细的信息。  虽然通过数据包监听工具可以取得更详细的网络信息,但监听工具通常专注在单一网络数据包的内容,所以网络管理者很难从监听工具所提供的信息来掌握整体网络的状态。此外,分析数据包非常耗费时间,而且数据包监听所储存并需要分析的数据量非常庞大,对于资源和人员的消耗是惊人的,这种方式显然不适合高校环境下的网络管理。  NetFloe、港湾网络等网络设备供货商也支持NetFlober)、目的IP位址(destinationIPaddress)、目的端口号(destinationportnumb

3、er)、协议种类(protocoltype)、服务种类(typeofservice)及路由器输入接口(routerinputinterface),任何时间当设备接收到新的数据包时,会检视这七个字段来判断这个数据包是否属于任何已记录的Flober(主机所属的AS编号)、DestinationASnumber(目的主机所属的AS编号)、SourcePrefixMask(主机所属网域的子网掩码)、DestinationPrefixMask(目的主机所属网络的子网掩码)、Protocol(使用的通讯协议)、TCPFlag(数据包控制标记)、TypeofService(QoS需求参数)、S

4、tartsysUpTime(起始时间)、EndsysUpTime(终止时间)、InputifIndex(信息流流入接口编号)、Outputifindex(信息流流出接口编号)、PacketCount(数据包数量)、ByteCount(Byte数量)。  支持NetFlow功能的网络设备将其所收集到的Flow信息以UDP数据包送往预先设置好的流量接收主机,配合NetFlow相关收集软件,将这些原始流量资料作适当的处理、储存以提供后续的相关应用。NetFlow在网络安全上的相关应用  NetFlow的纪录能够提供足够的信息来协助网络管理者掌握所管辖网络中的网络异常事件,而且由于Net

5、Flow不需要对数据包内容进行分析,大大减轻了网络设备运算处理的负担,所以很适合用来分析高速、忙碌的网络环境。  由于NetFlow数据是网络中的三层数据转发设备,所以通过从三层设备所搜集到的NetFlow信息可以协助掌握整体网络的情况,而且通过适当地分析NetFlow信息,可以协助管理者在蠕虫爆发或不正常网络行为的初期快速分析出网络中存在的问题。接下来我们进一步介绍如何利用NetFlow中所包含的信息来侦测异常的行为。从网络层的角度进行分析  一般来说,网络攻击行为会存在着某123下一页友情提醒:,特别!些可供辨识的特征,我们可以通过这些特征来与所获得的NetFlobersAu

6、thority,IANA)将下列三段IP地址保留给私有网络使用10.0.0.0~10.255.255.255、172.16.0.0~172.31.255.255及192.168.0.0~192.168.255.255,这几段网络的地址不能出现在外在网络环境中,但由于当初网络设计的缺陷,路由器对于所接收数据包的地址字段并不会进行验证,所以攻击者可利用这个缺陷伪造IP地址(IPSpoofing)来发动攻击,避免被追踪到攻击,所以我们可以从我们所接受到NetFloap之类的扫瞄工具扫瞄特定,以找出目标主机所可能存在弱点或是漏洞时,我们都可以从NetFloail感染蠕虫,同样原理我们也可

7、以应用来分析像emule等peer-to-peer档案分享软件常用之TCP4662/UDP4672port,找出网络滥用的行为,并进行适当处置以降低其所造成的伤害。利用TCP的控制过滤出可疑的FloP的讯息协助过滤出可疑的FloP来进行,我们可以从NetFloP,再根据目的主机之端口号(destinationTCP/UDPport)字段值分析出所代表的ICMP讯息,例如目的主机之端口号(destinationTCP/UDPport)字段值为2048,转化成八进位为800,第一位代

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。