NetFlow技术与高校网络管理

　　一般来说，网络攻击行为会存在着某些可供辨识的特征，我们可以通过这些特征来与所获得的NetFlow 数据进行对比，进而找出可能的异常行为。我们可以通过分析NetFlow 数据中目的主机所使用端口号字段，来过滤NetFlow资料找出相对应的攻击；另外我们也可以利用不合逻辑的来源或目的IP 地址来找出异常；此外，因特网地址指派机构（Internet Assigned Numbers Authority ， IANA）将下列三段IP 地址保留给私有网络使用10.0.0.0～10.255.255.255、172.16.0.0～172.31.255.255 及192.168.0.0～192.168.255.255，这几段网络的地址不能出现在外在网络环境中，但由于当初网络设计的缺陷，路由器对于所接收数据包的来源地址字段并不会进行验证，所以攻击者可利用这个缺陷伪造来源IP 地址（IP Spoofing ）来发动攻击，避免被追踪到攻击来源，所以我们可以从我们所接受到NetFlow 数据中来源主机所使用的IP 地址（Source IP Address）字段，找出伪造来源地址的流量，再利用NetFlow数据中信息流流入接口编号（Input IFindex）字段的信息，找出连接这个接口的上游路由器，请他们协助调查或处理。

　　某些异常行为可能会连到某个或某些特定地址。比如在2001 年造成严重网络拥塞的Code Red 蠕虫，我们分析所收集到的NetFlow 资料便可发现，此蠕虫的攻击行为有一个特性，每笔Flow 的destination TCP/UDP port 字段值会等于80，Packet Count 字段值等于3，Byte Count 字段值等于144bytes，网络管理者可以撰写程序分析所搜集的NetFlow数据，找出具备此特征的Flow 数据，便可找出管辖网络内有可能感染Code Red蠕虫的主机，并强行将该主机下线或封锁物理端口以降低蠕虫造成的危害。利用已收集到攻击的特征与NetFlow 信息中的相关字段进行比对找出可能的攻击，可以在造成网络严重伤害之前，采取相应措施来降低形成严重问题的可能性。 从传输层的角度进行分析