ipfix数据包大小

Question

是否有可能，通过IPFIX，在一个流中获取每个大小的数据包？它似乎只存在于大小和数据包的数量之和。

Answer 1

协议的前提是提供流级遥测信息.因此，每个包的特定大小实际上并不在范围内。作为参考，可以找到这里中可能在IPFIX中捕获的完整字段列表。

也就是说，通过在给定的时间间隔内获取数据包的平均大小(总流量/数据包数)，显然可以得到一个很好的主意。从统计的角度来看，这通常足以作为能力规划/交通特性描述的目的。DDoS检测通常也会发现，与数据包总数的增长相比，平均数据包大小的相对下降很容易引起注意。

需要记住的是，在10、40和100 to链接的PPS规模上，存在着一些相当明显的限制，而解决这些问题的唯一方法是对数据进行抽样和汇总。不幸的是，这意味着在维护可见性方面必须失去粒度。好消息是，有一些新的机制，允许更深入的交通分析。坏消息是，这可能与IPFIX/Netflow/sFlow所看到的大不相同。