NetFlow技术与高校网络管理

　　我们可以通过NetFlow 数据找出网络中建立session 数目最多的主机，因为如果一台主机对特定主机产生不正常的大量连接，这可能代表着新的蠕虫、阻断服务攻击、网络扫描等的可能性，因为一个正常的主机对外连接会有一定正常的频率，如果正常的主机感染了蠕虫，就可能会开始产生异常的网络行为，开始产生对外大量的连接需求来找寻下一个感染的对象，因此我们可以从感染蠕虫的主机的NetFlow 信息中发现到大量的对外连接需求，同样的原理，如果所管辖网络中的使用者从网络上下载阻断服务攻击之工具程序企图对外发动攻击时，或是使用者利用Nmap 之类的扫瞄工具扫瞄特定网址，以找出目标主机所可能存在弱点或是漏洞时，我们都可以从NetFlow 数据中发现从网域中某个特定地址送出的大量session.

　　除了侦测网络攻击外，我们也可以通过分析session 的方式找出网络滥用的行为，例如分析NetFlow 数据中目的主机所使用端口号的信息，通过分析对外25 port 连接的相关信息，若某一台主机对外25 port 连接的数目在某个特定时间内超出正常值过多，我们便可合理怀疑这台主机被利用来散发广告信或通过e-mail感染蠕虫，同样原理我们也可以应用来分析像emule 等peer-to-peer 档案分享软件常用之TCP 4662 / UDP 4672 port，找出网络滥用的行为，并进行适当处置以降低其所造成的伤害。 利用TCP 的控制过滤出可疑的Flow

　　但对于一些大型网络，攻击的相关NetFlow 信息可能会被其它正常的NetFlow 信息所稀释，例如感染病毒的初期或是谨慎的黑客，可能会利用正常的流量来掩护其异常行为。另外，当我们遇到新的攻击手法或是病毒时，可能无法在第一时间掌握其Flow 特征，也无法通过特征比对的方式找出异常流量。为了更快速有效地侦测出异常的流量，我们试着对TCP 的控制标志进行分析，希望缩小需要进一步分析的NetFlow 数据量，以及早发现异常流量。对蠕虫而言，由于其在网络中通过感染大量主机进行自我复制的本质，蠕虫会在很短的时间内尽全力探测可能的感染目标，而且大部分的蠕虫都是通过TCP 协议来传输散布，所以我们可以从TCP 的控制标志中发现到一些蛛丝马迹，作为我们缩小可疑名单的根据。