Netflow与Nfsen相关问题

Question

几天前我们有了DDoS，下面是净流数据，但是我和我在这里看到的数字混淆了。

如果您查看第一个Bytes(%)列67.2 G(80.6) (在GB中)，这意味着什么？我已经检查了网络接口图，我看到的只有2G尖峰在链接。

Top 10 IP Addr ordered by packets:
Date first seen          Duration Proto           IP Addr    Flows(%)     Packets(%)       Bytes(%)         pps      bps   bpp
2017-01-02 13:49:03.031   960.927 any        70.xx.xx.26    18659( 1.5)   52.3 M(29.4)   67.2 G(80.6)    54456  559.6 M  1284
2017-01-02 13:56:24.412   258.948 any       23.xx.xx.62        9( 0.0)   15.8 M( 8.9)   21.9 G(26.3)    60904  677.0 M  1389
2017-01-02 13:49:02.981   961.013 any         70.xx.xx.6    76721( 6.0)   15.3 M( 8.6)    2.1 G( 2.5)    15957   17.4 M   136
2017-01-02 13:49:03.029   960.970 any         70.xx.xx.5    76277( 5.9)   15.1 M( 8.5)    2.1 G( 2.5)    15675   17.1 M   136

编辑

Netflow配置：

flow record netflow-record
 match ipv4 destination address
 match ipv4 source address
 match transport destination-port
 match transport source-port
 match ipv4 protocol
 collect counter bytes
 collect counter packets
 collect timestamp sys-uptime first
 collect timestamp sys-uptime last
!
flow exporter netflow-exporter
 destination x.x.x.x
 source TenGigabitEthernet0/0/0
 transport udp 9995
!
flow monitor netflow-monitor
 exporter netflow-exporter
 cache timeout active 60
 record netflow-record

Answer 1

列"Bytes(%)“指的是在采样间隔期间来自该主机并进入该主机的数据总量(3个流为960秒，第四个为260秒)，以及该数据在整个间隔中所代表的所有数据的百分比，而相反，"bps”指的是单个间隔期间每秒的平均位数--因此表面上(字节* 8) /(间隔以秒为单位)。

这个百分比加起来超过了100% --这就是为什么我认为这个表实际上是记录到--或者来自--有关IP的全部数据，而且很可能会有一定数量的流量在这些主机之间。基于源+目标或更好的源IP +目标子网的top-n表可能更有启发性，并且应该非常容易从数据中生成。