Назад | Перейти на главную страницу

Пакет netflow включает нулевые номера портов?

Что означает нулевой номер порта источника? Может ли Netflow сказать что-то о соединении, которое не является TCP или UDP?

Спасибо.

Нулевой номер порта обычно указывает на то, что рассматриваемый сеанс является IP-протоколом, который не использует номера портов. NetFlow может сообщить о любом сеансе IP. Доступен текущий список номеров протоколов, присвоенных IANA. Вот. Например, есть большая вероятность, что вы видите некоторый трафик ICMP.

В зависимости от версии NetFlow есть ряд дополнительных полей. NetFlow 5 довольно ограничен, но NetFlow 9 / IPFIX может включать QoS, флаги TCP, VLAN и другие поля, включая поля, зависящие от поставщика.

В вашем комментарии выше я вижу, что ваш источник NetFlow находится внутри вашего брандмауэра. Если ваш зонд находится на том же хосте / устройстве, что и ваш брандмауэр, многие экспортеры сообщают о трафике до брандмауэра, поэтому вы вполне можете видеть внешнее сканирование. Вы также должны учитывать возможность заражения вредоносным ПО, что может привести к внутреннему сканированию.

Netflow - это протокол Cisco, он позволяет только:

  • Исходный IP-адрес
  • IP-адрес получателя
  • Исходный порт для UDP или TCP, 0 для других протоколов
  • Порт назначения для UDP или TCP, тип и код для ICMP или 0 для других протоколов
  • Протокол IP
  • Входной интерфейс (SNMP ifIndex)
  • Тип услуги IP

Согласно RFC1700, TCP и UDP 0 зарезервированы, но действительны. Поскольку поведение для соединений, установленных на этих портах, не определено в спецификации, разные операционные системы обрабатывают этот случай по-разному; это поведение можно использовать для снятия отпечатков пальцев ОС целевого хоста. По сути, вас сканируют.

Я вижу следующие возможности для нулевого значения порта в сочетании с протоколом TCP или UDP.

  • номер порта действительно равен нулю
  • IP-трафик был фрагментирован

Я думаю, что недостатком netflow является то, что эти две ситуации может быть невозможно различить, потому что scrooges от Cisco сэкономили еще один байт для поля порта, поэтому нет места для нулевого значения.