netflow记录是否等于会话？

Question

因为我不太理解网络中的会话定义，所以我有一个困惑: netflow记录是否等于会话？如果我一次通过FTP上传一些文件到服务器，就会产生50个文件

netflow记录(相同的源和目标IP，但端口不同)。该进程是否等于50个会话，还是服务器关闭连接后的进程仅等于一个会话？

就像这张照片

​

非常感谢:)

Answer 1

简短的回答；这一切都取决于。

在处理网络流时，有许多因素和变量，无论是Cisco的Netflow格式(不同版本)、IETF的IPFIX格式还是其他类似的格式。如果采用非常常见的格式，Netflow v5，则流由5或7个元组定义(取决于定义的详细程度)。这些元组是:源和目的地IP地址、源和目的地端口和协议(另外还有服务类型和入口接口索引)。另外，Netflow v5是一种单向网络流协议，这意味着它将处理来自服务器的连接和从服务器到服务器的连接。因此，任何与一个方向上5/7元组定义相匹配的IP数据包都将构成一个网络流，并产生一个Netflow记录。在检查Netflow数据并将其与网络通信会话进行比较时，必须考虑到所有这些因素(网络通信会话本身也可能根据其上下文有不同的定义)。

似乎这还不够，也有实现特定的变量和限制，它们可能会将一个会话分成几个记录。通常，flow协议实现各种超时，以便能够有效地收集和存储数据。TCP会话可能会在很长一段时间内打开连接，这使得流生成器难以在内存中保持和维护流。有些网络流格式能够定位这样的分离记录并将它们合并到单个流记录中。

因此，总而言之，网络分析人员开始处理网络流很容易陷入认为一个记录等于一个会话的陷阱。这一假设有时可能是正确的，但并非总是如此。