Меня немного смущает определение смысла "NetFlow". Объявляет ли NetFlow обмен всеми пакетами между двумя IPv4-адресами независимо от сетевых портов или описывает заголовки пакетов (исходный IP-адрес, целевой IP-адрес, исходный порт, целевой порт, протокол, информация о времени, флаги TCP, информация о байтах, пакет Информация, информация ICMP)?
NetFlow как термин теперь охватывает несколько различных подходов благодаря расширяемым полям, но в основном это так: запись NetFlow представляет собой периодическую сводку количества байтов и пакетов, отправленных с хоста A на хост B по IP-протоколу номер C, и ( где необходимо) от порта D на хосте A до порта E на хосте B. Часто информации больше (например, информация об интерфейсах маршрутизатора, через который проходит трафик), но это более или менее.
Конкретный пример может помочь. Допустим, я запускаю сеанс SSH с 192.168.0.10 по 192.168.0.11. Моя локальная ОС назначает мне эфемерный TCP-порт 50000, и, конечно же, я подключаюсь к порту 22.
Периодически (скажем, раз в минуту) мой маршрутизатор будет отправлять датаграмму NetFlow, содержащую два обновления. Один будет содержать количество октетов и пакетов, отправленных с 192.168.0.10:50000 до 192.168.0.11:22, а другой будет содержать количество октетов и пакетов, отправленных с 192.168.0.11:22 на 192.168.0.1 : 50000. Может быть дополнительная информация, такая как используемые флаги TCP, QoS, номер VLAN и другие элементы. Некоторые маршрутизаторы также будут проверять полезные данные, чтобы определить используемое приложение, или извлекать URL-адреса или имена пользователей. Они помещаются в дополнительные поля и обычно не приводят к полностью новым записям NetFlow.
Если я открою второе соединение между теми же хостами, скажем, с портом 80, или другое соединение с портом 22, я получу отдельные обновления для этого соединения, потому что мне будут назначены новые исходные порты. Итак, если у меня есть два SSH-соединения, одно с порта 50000, а другое с порта 50001, NetFlow распознает их, и я получу два набора обновлений. Если у меня открыто двадцать подключений, я получу двадцать пар (по одной для каждого направления) обновлений NetFlow в соответствии с задействованными портами и хостами.
Итак, чтобы более прямо ответить на ваш вопрос: он принимает во внимание информацию заголовка при составлении отчетов, так что отчеты НЕ зависят от используемых портов. Но, как сказал другой комментатор, это не обязательно ограничивается ТОЛЬКО информацией заголовка.