sniffer与netflow的区别
请大家多多提意见.sniffer与netflow的区别 netflow主要用来进行IP流量分析、统计,NetFlow是Cisco公司提出的网络数据包交换技术,该技术首先被用于网络设备对数据交换进行加速,并可同步实现对高速转发的IP数据流 (Flow)进行测量和统计。NetFlow 可以快速有效地掌握所管辖网络的状态,其网络设备通过以下字段来区分每一笔Flow:来源IP 地址(source IP address)、来源端口号(source port number)、目的IP 位址(destination IP address)、目的端口号(destination port number)、协议种类(protocol type)、服务种类(type of service)及路由器输入接口(router input interface),任何时间当设备接收到新的数据包时,会检视这七个字段来判断这个数据包是否属于任何已记录的Flow,有的话则将新收集到的数据包 的相关流量信息整合到对应的Flow 记录中,如果找不到数据包对应的Flow 记录,便产生一个新的Flow 记录来储存相关的流量信息。由于设备内高速缓存的空间有限,无法无限制地容纳持续增加的Flow 纪录,所以NetFlow 协议也定义了终结Flow记录的机制,来维持网络设备中储存Flow 信息的空间。当数据包内字段flag 显示传输协议中传输完成的讯息如TCP FIN 时或流量停止超过15 秒或流量持续传送,每30 分钟会自动终止。
,路由器就会通过UDP 数据包将终止的Flow 纪录汇出到使用者事先指定的NetFlow 数据收集设备上:
Sniffer,中文可以翻译为嗅探器,是一种利用以太网的特性把网络适配卡(NIC,一般为以太网卡)置为杂乱(promiscuous)模式状态的工具,一旦网卡设置为这种模式,它就能接收传输在网络上的每一个信息包。可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。 学习
页:
[1]