在網路世界中,流量記錄(或稱 Flow Data)是比傳統日誌更詳盡的「網路行為日誌」。最常用的標準協定就是 NetFlow 及其繼承者 IPFIX (IP Flow Information Export)。
核心概念:NetFlow 記錄了什麼?
NetFlow/IPFIX 不會記錄封包的內容,而是記錄封包的 「元數據」(Metadata),即一次連線的概要資訊。這組資訊被稱為一個 Flow Record,它記錄了「誰與誰、在什麼時間、透過什麼服務、交換了多少數據」。
以下是 NetFlow/IPFIX 數據中,對於網路監控與故障排除最關鍵的幾個「日誌欄位」:
NetFlow/IPFIX 關鍵數據欄位 (流量日誌)
| 要檢查的內容 (欄位名稱) | 意義與作用 | 故障排除與分析方向 |
|---|---|---|
| Source IP & Destination IP | 誰在通訊? 記錄了會話(Session)的發起方和接收方的 IP 地址。 | 應用: 識別內部主機 IP 是否嘗試連線到可疑的外部 IP,或追蹤異常流量的來源。 |
| Source Port & Destination Port | 使用什麼服務? 記錄了應用程式所使用的埠號。 | 應用: 服務識別。例如,如果看到大量流量使用非標準埠,可能暗示惡意軟體或 P2P 行為。 |
| Protocol (L4) | 使用什麼協定? 記錄了連線是 TCP、UDP 還是其他協定。 | 應用: 品質分析。UDP 流量過高(如視訊或 DNS 放大攻擊)可能影響網路品質;大量 SYN/FIN 則可能指向掃描或連線中斷。 |
| Interface In/Out | 流量從何處進出? 記錄了 Flow 進入和離開路由器/交換器的介面索引。 | 應用: 確認路徑。用於判斷流量是否繞路,或快速定位是哪個網段的設備佔用了頻寬。 |
| Bytes & Packets | 交換了多少數據? 記錄了該 Flow 累積的總位元組數和封包數。 | 應用: 頻寬佔用分析。這是判斷「誰是頻寬殺手 (Bandwidth Hog)」的直接依據。 |
| Start Time & End Time | 連線持續多久? 記錄了 Flow 建立和結束的時間戳。 | 應用: 持久性分析。用於分析單次連線的持續時間,幫助識別長時間連線(如下載)或大量短暫連線(如攻擊)。 |
| TOS/DSCP 欄位 | 服務品質如何? 記錄了 IP 封包頭中的服務類型 (Type of Service) 或 DSCP 欄位。 | 應用: QoS 驗證。檢查高優先級(如 VoIP)的流量是否被正確標記,確保 QoS 策略生效。 |
過去,傳統的系統日誌(System Logs)主要用於回答基本的硬體或協定狀態問題,例如「路由器是否啟動?」或「OSPF 鄰居是否連線?」;然而,現代網路管理更需要深入的行為洞察。因此,管理者必須轉向使用 NetFlow/IPFIX 流量數據,這使得我們的提問從關注設備本身轉變為關注網路內容:「誰在消耗最多的頻寬?」「我們的流量是否遭受了 DDoS 攻擊?」以及「應用程式的 QoS 標記是否被正確套用?」
iThome鐵人賽
看影片追技術