Что означает нулевой номер порта источника? Может ли Netflow сказать что-то о соединении, которое не является TCP или UDP?
Спасибо.
Нулевой номер порта обычно указывает на то, что рассматриваемый сеанс является IP-протоколом, который не использует номера портов. NetFlow может сообщить о любом сеансе IP. Доступен текущий список номеров протоколов, присвоенных IANA. Вот. Например, есть большая вероятность, что вы видите некоторый трафик ICMP.
В зависимости от версии NetFlow есть ряд дополнительных полей. NetFlow 5 довольно ограничен, но NetFlow 9 / IPFIX может включать QoS, флаги TCP, VLAN и другие поля, включая поля, зависящие от поставщика.
В вашем комментарии выше я вижу, что ваш источник NetFlow находится внутри вашего брандмауэра. Если ваш зонд находится на том же хосте / устройстве, что и ваш брандмауэр, многие экспортеры сообщают о трафике до брандмауэра, поэтому вы вполне можете видеть внешнее сканирование. Вы также должны учитывать возможность заражения вредоносным ПО, что может привести к внутреннему сканированию.
Netflow - это протокол Cisco, он позволяет только:
Согласно RFC1700, TCP и UDP 0 зарезервированы, но действительны. Поскольку поведение для соединений, установленных на этих портах, не определено в спецификации, разные операционные системы обрабатывают этот случай по-разному; это поведение можно использовать для снятия отпечатков пальцев ОС целевого хоста. По сути, вас сканируют.
Я вижу следующие возможности для нулевого значения порта в сочетании с протоколом TCP или UDP.
Я думаю, что недостатком netflow является то, что эти две ситуации может быть невозможно различить, потому что scrooges от Cisco сэкономили еще один байт для поля порта, поэтому нет места для нулевого значения.