Udp会话Netflow

Question

netflow如何定义udp会话的结束。也就是说，正如我所理解的，在动态端口没有请求的情况下，必须有一些超时，随着时间的推移，该端口将形成一个新的会话。如果是，它是如何实现的，如果存在超时时间，则它将持续多久。

Answer 1

这是一个可以编写大量内容的领域，但以下是一些简短的要点：

1.)有一系列具有Netflow实现的计时器，当超过这些实现时，会导致流记录从缓存中导出和刷新。

2.)其中一个定时器是最大定时器。这里的想法是，即使是一个正在进行的流也会产生一个记录。一个长期存在的流实际上可能生成几十个(或数百个)顺序记录。这方面的一个很好的例子是一个TCP流，例如，在一个最大定时器为5分钟的实现上持续60分钟。该流可能实际上由12条(+/-)记录表示。换句话说，即使没有FIN (或者会话根本没有结束)，记录也是生成的。

3.)另一个定时器是不活动/空闲的计时器。在这种情况下，如果在x秒内看不到给定流的通信量，则缓存条目将超时并导出记录。这就是Netflow如何识别任何非TCP流的结束(提示:并不是所有的实现都正确地将TCP作为关闭方法处理)。这里有一个要点需要考虑:如果这个计时器很长，那么您可能无法非常准确地查看给定流的确切结束时间。

4.)更有趣的是，如果有足够的流量超过Netflow收集器上的缓存，那么许多实现实际上会提前淘汰流以腾出空间。理想情况下，选择的是具有较长空闲计时器的流，但是如果缓存耗尽情况足够糟糕，我们实际上可以达到一个退化状态，实际上每个数据包都生成一个新流。顺便说一句，这就是为什么在大多数现代直流开关中，完全(即未采样) Netflow已经成为过去，因为流缓存的大小变得完全站不住脚。

所以，和往常一样，魔鬼就在细节里。Netflow实现在缓存大小和采样率、这些定时器(和其他几个定时器)可以设置的低(或高)、它们是否正确地跟踪TCP标志等方面存在差异。在IPFIX/v9中，本地可编程聚合在流收集中增加了另一层中介，等等。