tcp - nfdump 中的 'flow' 到底是什么？我可以通过 nfdump 获得 tcp session 吗？

Question

我需要根据网络接口(interface)中的数据包创建一些统计信息，但我只关心我的 tcp session 。我以为我可以用 nfdump 和 nfsen 做到这一点。因为我是新手，所以我不太明白 nfdump 定义的“流”。

此外，我可以使用这些工具只获取 tcp 协议(protocol) session 的统计信息吗？我的意思是，例如，我需要在我的服务器中拥有所有连接(srcip-srcport、dstip-dstport 对)的平均持续时间。出于这个原因，我需要 3WH 和每个连接关闭之间的时间(使用 [fin/ack,ack] 或 [rst])。使用 nfdump-nfsen 可以吗？

Answer 1

这里的简短回答是否定的:您的软件列表中没有任何可生成 netflow 信息的软件。这是行不通的。 Netflow 收集器并不像您希望的那样努力工作以维持您的连接想法 - 流只是在收集周期的一部分发生的相关数据包的集合。对于长期 session ，您可以期望看到一些流。

对于您的应用程序，您最好使用 tcpdump 捕获 syn-ack 和 fin 数据包，并使用您最喜欢的文本处理工具分析这些数据包的时间。

此外，在键盘的左侧，您可能会发现一个带箭头的键，可让您输入大写字母。