나는 네트워크 트래픽에서 패턴의 식별에 관한 논문을 쓰고있다. 입력 파일에는 수천 개의 데이터 라인이 들어 있으며, 각각 타임 스탬프, 소스 및 대상 IP 주소, 소스 및 대상 포트, 인터페이스, 소스 및 대상과 프로토콜간에 교환되는 패킷 수 및 패킷 수를 제공합니다. 시작과 종료 시간은 항상 데이터 라인에서 동일합니다.라우터/서버/클라이언트를 netflow 데이터 내보내기에서 식별 할 수 있습니까?
내 질문은 단지 정보를 기반으로 제공되거나 라우터/서버/클라이언트 등의 카테고리에 모든 IP 주소를 할당 할 수있는 경우입니다 기타 정보가 제대로 모든 주소를 할당하기 위해 필요한 또한이있는 경우? (사용되는 포트는 약 100-150이며 등록 및 등록 해제되어 있습니다).
감사합니다. 당신이 생각하고있는 어떤 종류에 많이 의존하기 때문에
귀하의 질문은 매우 광범위하다. 예를 들어 서버 정의는 무엇입니까? 어쨌든, 기술적으로 NetFlow는 종점 유형 자격을 지원하지 않으므로 통계에 의존해야합니다. 특정 대상 IP 주소에 예를 들어 (대상) 포트 25에 대한 상당한 양의 (절대) 트래픽이있는 경우 SMTP 서버 일 가능성이 큽니다. 보낸 사람은 SMTP 트래픽을 많이받지 않는 한 클라이언트로 분류 될 수 있습니다 (따라서 중계 할 것입니다). NetFlow는 일반적으로 라우터에서 실행되기 때문에 (스위치에서는 자주 사용되지 않음) NetFlow 원본 IP 주소는 라우터 일 가능성이 높습니다. 특정 포트의 IP 주소로 들어오고 나가는 트래픽 양이 많으면 그 IP 주소를 서버로 간주 할 가능성이 높습니다. 당신은 그 경계를 결정해야합니다. 필요한 경우 서버 유형. SMTP는 비표준 포트 (예 : 80)를 실행할 수도 있지만 입구 및 출구 데이터 양을 측정하여이를 감지 할 수 있습니다. 내 생각 엔 몇 가지 표준 프로토콜이 식별 할 수있는 비율을 가지고있을 것입니다.