数据包是网络中传输的数据单位,每个数据段经过网络层层封装成为-个可以在网络中流动的包， 从源头到达目的地之后,被目标设备层层解析出来,获得里面的数据。 数据流是一个有序的数据包系列，它需要用一定的顺序进行读取。可以认为,数据流是一次活动包 含的几个部分的信息的连接,例如TCP的三次握手。数据流中包含多个数据包,这些数据包具有共 同的特点,就是IP五元组(源IP地址,源端口,目的IP地址,目的端口,传输层协议)相同。

Netlow是一种网络数据包交换技术,用来对数据交换进行加速,同时统计经过网络设备的IP数据 流。Netflow建 立在会话级别上。每个数据流对应一个会话信息。Netflow包含两个部分,一个是 数据流的采集和缓存;另一个是通过UDP的数据导出机制。事实上,一个Netflow包含的都是同一 个TCP会话的数据,但一个TCP会话可能包含多个Netflow流。

确定Flow的标识: SIP+ DIP+SPORT+DPORT +Layer 3 protocol type + TOS byte0 + Router or switch interface nfc格式的flow统计信息:源地址|目的地址|源自治域目的自治域|流入接口号|流出接口号|源端口| 目的端口|协议类型|包数量|字节数|流数量 Netflow通过识别low的信息,将flow加入到缓存中。随著flow数量的增加，缓存中的表项也在不 断增加，所以需要一个缓存维护机制来清理一些过期flow。 对flow的超时的指定方式: 1.空闲超过了指定空闲时间长度 2.长连接会话强制超时 3.缓存空间耗尽所触发的强制超时 4. TCP FIN/RST触发的超时。

Netflow的数据导出是一种使用UDP的主动推送机制。 Netflow封装的格式是header+每个flow的详细记录。

Figure 1 Netflow报头格式

Figure 2 Netflow模板定义方式

Figure 3 Netflow数据部分