NetFlow类型数据性能测试工具和方法研究

NetFlow是一种数据交换方式，其工作原理是：NetFlow利用标准的交换模式处理数据流的第一个IP包数据，生成NetFlow 缓存，随后同样的数据基于缓存信息在同一个数据流中进行传输，不再匹配相关的访问控制等策略，NetFlow缓存同时包含了随后数据流的统计信息。

  工具和操作步骤总结：

1. Netflow Simulator工具构造和发送netflow字段和模版数据流

2. Tcpdump 抓取netflow simulator发出的数据包

3. Wireshark工具分析 数据包，并进行拆解，导出满足测试需求的包

4. Tcpreplay回放特定的数据包

5. Thread.py多进程回放

文章目录

• 步骤1：Netflow Simulator工具构造和发送netflow字段和模版数据流

• 步骤2：使用Tcpdump工具抓取 netflow simulator发出的数据包

• 步骤4：使用Tcpreplay工具回放导出的数据包

• 步骤5：多进程启用tcprepaly回放（大数据量级）

• 总结

步骤1：Netflow Simulator工具构造和发送netflow字段和模版数据流

步骤2：使用Tcpdump工具抓取 netflow simulator发出的数据包

步骤3：Wireshark工具分析数据包，并进行拆解，导出满足测试需求的包

步骤4：使用Tcpreplay工具回放导出的数据包

tcpreplay工具

./tcpreplay -i eth0 -k 00:50:56:bf:46:98 -I 00:50:56:bf:07:89 -e 10.67.1.132:10.67.1.134 -p 5 -4 9991:6666 netflow_v9_1template_28data.pcap -l 10

主要配置参数说明：

-i 选择的发包网卡

-k 发包网卡的mac地址（源mac）

-I 接收网卡的mac地址 （目的mac）

-e 发包主机和接收主机使用网卡配置的ip地址

-p 每一秒发包的速率，单位 packets/s

-4 9999:6666 表示 源端口：目的端口

nfv9_ipv4_p1_f2_9999.pcap 要发的pacp包名称

-l 发包的数量。

步骤5：多进程启用tcprepaly回放（大数据量级）

总结

随着系统的升级与漏洞的修补，入侵主机进而进行破坏的病毒攻击方式在攻击中所占比例逐渐减少，这些攻击转而改为恶意的消耗网络有限的资源或占用系统，进而破坏系统对外提供服务的能力；但传统的系统升级无法检测并预防此类攻击。针对此类攻击，业界提出了以检测网络数据流的方法来判断网络异常和攻击：借助实时的检测网络数据流信息，通过与历史记录模式匹配（判断是否正常）、或者与异常模式匹配（判断是否被攻击），让网络管理人员可以实时查看全网的状态，检测网络性能可能出现的瓶颈，并进行自动处理或告警显示，以保证网络高效、可靠地运转。Netflow提供网络流量的会话级视图，记录下每个TCP/IP事务的信息。