Что такое Netflow?
Меня немного смущает определение смысла "NetFlow". Объявляет ли NetFlow обмен общими пакетами между двумя адресами IPv4 независимо от сетевых портов или описывает заголовки пакетов (исходный IP-адрес, целевой IP-адрес, исходный порт, целевой порт, протокол, информация о времени, флаги TCP, информация о байтах, пакет Информация, Информация ICMP)?
NetFlow как термин теперь охватывает пару различных подходов, благодаря расширяемым полям, но в основном это так: Запись NetFlow - это периодическая сводка о количестве байт и пакетов, отправленных с хоста A на хост B по IP-протоколу номер C, и (где уместно) с порта D на хосте A на порт E на хосте B. Часто бывает больше информации (например, информация о интерфейсах маршрутизатора, через который проходил трафик), но это более или менее она.
Может помочь конкретный пример. Допустим, я начинаю сеанс SSH с 192.168.0.10 по 192.168.0.11. Моя локальная операционная система назначает мне эфемерный TCP порт 50000, и, конечно, я подключаюсь к порту 22.
Периодически (скажем, раз в минуту) мой маршрутизатор будет посылать датаграмму NetFlow, содержащую два обновления. Одно будет содержать временное количество октетов и пакетов, отправленных с 192.168.0.10:50000 до 192.168.0.11:22, а другое будет содержать количество октетов и пакетов, отправленных с 192.168.0.11:22 до 192.168.0.1:50000. Может быть дополнительная информация, такая как используемые TCP флаги, QoS, VLAN номер и другие элементы. Некоторые маршрутизаторы также проверяют полезную нагрузку для определения используемого приложения, или вытаскивают URL или имена пользователей. Они помещаются в дополнительные поля, и обычно не приводят к появлению совершенно новых записей NetFlow.
Если я открою второе соединение между теми же самыми хостами, скажем, на порт 80, или другое соединение на порт 22, то я получу отдельные обновления для этого соединения, потому что мне будут назначены новые порты исходных кодов. Итак, если у меня два SSH соединения, одно с порта 50000, а другое с порта 50001, то NetFlow отличит их и я получу два набора обновлений. Если у меня будет открыто двадцать соединений, то я получу двадцать пар (по одной для каждого направления) обновлений NetFlow, в соответствии с задействованными портами и хостами.
Итак, чтобы более прямо ответить на ваш вопрос: в отчетах учитывается информация о заголовке, так что отчеты НЕ будут зависеть от используемых портов. Но, как сказал другой комментатор, это не обязательно ограничивается JUST информацией о заголовках
.