NetFlow技术与高校网络管理

　　以正常的TCP 连接建立过程而言，客户端会先送出一个SYN 数据包给目的端主机，接着目的端主机会响应一个SYN/ACK 数据包，客户端在接收到这样的数据包后，再送回给目的端主机ACK 数据包完成连接，但并不是每一次都能顺利建立连接，由于NetFlow 会将每个session中所有传输时的TCP 控制标志全部储存在数据包控制标志（TCP Flag） 这个字段中，因此我们可以通过这个字段中的信息来协助我们推测特定主机联机的特性。

　　若某个Flow 正常地建立TCP 连接后，其数据包控制（TCP Flag） 字段会记录的包含ACK、SYN、FIN 等控制标志，但是如果蠕虫进行感染的动作时，由于随机选取的主机并不一定存在，或是即使存在但目标主机没有开放蠕虫所要感染的TCP port，在这种情况下，NetFlow 信息中由受感染主机对外联机所产生的Flow 数据包控制标志（TCP Flag） 字段会只存在SYN 这个TCP 控制标志，根据这种特性网络管理者可以先将其NetFlow 数据中数据包控制标志（TCP Flag）字段只有存在SYN 控制标志的Flow 数据过滤出来，通过这种方式我们可以把大部分正常的流量排除，这时候我们要从可疑的数据中找出真正异常流量的难度就会降低许多，能快速找出问题，也可以避免运算资源无谓的浪费。 利用ICMP的讯息协助过滤出可疑的Flow

　　某些蠕虫或网络攻击也会利用ICMP 来进行，我们可以从NetFlow数据中过滤出有异常行为的主机，首先找出通讯协议（protocol） 字段值为1 的Flow，代表所使用的通讯协议为ICMP，再根据目的主机之端口号（destination TCP/UDP port）字段值分析出所代表的ICMP 讯息，例如目的主机之端口号（destination TCP/UDP port）字段值为2048，转化成八进位为800，第一位代表位数字代表的是ICMP 的类型，后两码为这个ICMP 类型中的编码，整体的意思是ICMP echo 请求；但如果字段值为769，转化为八进位则为301，这个编码代表的是ICMP host unreachable；如果字段值是771则代表ICMP port unreachable；字段值是768 则代表ICMP network unreachable.我们可以先找出所使用通讯协议为ICMP 的Flow，进一步过滤出其中目的主机所使用端口号为768、769、771 的Flow，再进一步分析找出可能的异常行为。通过这种方式从大量NetFlow 数据中过滤出可疑名单，再对名单内的Flow 数据进行进一步的分析，这样可以帮助网络管理者快速找出问题所在。

　　由于目前网络带宽增长非常迅速，仅仅在核心层部署NetFlow可能会导致设备性能下降。目前港湾网络可以在汇聚层的FlexHammer 5210系列、核心层的BigHammer 6800系列提供相应的NetFlow功能，通过核心和汇聚层的NetFlow分布式部署，可以在确保网络性能的前提下提供完善的病毒和网络异常控制机制，从而协助网络管理者完成网络的维护工作，为各个高校网络中心降低管理压力。