NetFlow vs. sFlow 谁能更快更好检测DDoS

欢迎大家来到IT世界,在知识的湖畔探索吧!

成功的分布式拒绝服务（DDoS）分流和缓解主要取决于两件事情：检测的速度和检测的精准度。客户在考虑DDoS解决方案时，通常也会问用NetFlow好，还是sFlow比较好。当然要好好理解到位，先随云端卫士来仔细看看这两种类型的数据流有什么不同之处。

NetFlow（和cFlow、JFlow以及IPFIX密切相关）是一种概要性质的记录格式，路由器或者其他的输出设备统计列出每一个经过的数据包流。一个NetFlow流定义为在一个源IP地址和目的IP地址间传输的单向数据包流，且所有数据包具有共同的传输层源、目的端口号。

每一个数据包会统计到表格中，并且增加到表格中合适的列中。针对路由器送出的NetFlow数据，可以利用NetFlow数据采集软件存储到服务器上，以便利用各种NetFlow数据分析工具进行进一步的处理。会有一个状态显示，一个数据流达到60秒之久，这条记录就会发送给采集器，而它的任务就是检测拒绝服务攻击。

sFlow则采取了稍微不同一点的方法，并不会有所谓的状态。取而代之的是sFlow随机抓取经过的流量包，并立即发送给采集器。虽然这种方法可能比NetFlow的列表统计缺乏精准性，但是对于快速DDoS检测确实不错。随着脉冲型和流量放大型攻击逐渐增多，数据包流动的速率迅速增加。这也意味着抛给采集器的数据包样例立刻增多，而采集器则需要对DDoS检测负责。

虽然NetFlow的方法确保了不会有数据包漏掉，但对于精准网络取证非常有用，但也会导致稍微慢一点的检测。如果NetFlow输出设备具备了充足的内存来记住所有攻击流量的状态，具备NetFlow能力的设备就可以以更高的速率输出，有效改善检测时间。

检测精准度是另外一件事。由于sFlow和NetFlow在发送和接收端口传输信息，而且两个传输信息都有标记和IP地址，要做出精准的检测就取决于采集器了。来自SMURF的DNS或者NTP放大攻击与来自SynFlood的FRAGGLE是有区别的，而这也是执行有效缓解攻击的关键。大部分的检测场景（不管是用清洗设别或者人工手段）都取决于知道这几个关键因素：

1.攻击目标是谁？

2.bit/packet的比率是否高到能够影响服务？

3.具体的攻击类型是什么？

NetFlow和sFlow都可以提供有效的检测服务，要说谁更快还真是不太好选，因为从互联网传播也需要时间，达到一种全强度的攻击也不是很快就能实现。不过从NetFlow在市场上的活跃度来看，sFlow的速度优势已经开始消失了。

我不说我采用了哪一种，你们猜呢？

首先我们是大数据分析的实践者，云端卫士通过采集客户业务的DPI数据，利用成熟的大数据分析平台，实时分析客户的业务特点，同时根据不同客户的不同业务特点，有针对性制定安全防护策略，并将相关策略应用到分布于全国各重要节点的防护设备上，对攻击数据进行精准封杀，保证正常业务可用。

再者我们可是在芯片层级做足了文章，云端卫士在通用的x86平台进行安全防护引擎的自主研发，跳过OSI 7层协议栈的包处理过程，直接在操作系统内核进行安全防护操作，指数级的提升了处理效率，每台x86服务器均采用Intel多核Xeon处理器、512G内存及万兆网卡，单防护节点可以轻松实现10Gbps的线速转发与防护，可以有效应对SYN Flood、ACK Flood、UDP Flood、ICMP Flood、NTP/DNS反射等多种类型的DDoS攻击。

当然除了这些，云端卫士在国内三大运营商100多个骨干网机房、四/五星IDC机房均有安全防护节点部署，每节点的防护带宽超过100G，整体防护带宽超过1T，对于攻击流量直接就近牵引、防护及回注，具有明显的分布式防护特点，单一节点的失效，并不影响整体安全防护性能，仅仅是防护带宽略有降低，该节点原来负责的攻击防护区域的攻击流量自动切换到其他最近节点防护，切换速度为50毫秒，对于业务影响几乎为零。