网络流测量方法-第三章

Posted on 2023-04-08 Edited on 2023-09-04 In Course , 网络协议逆向

网络流定义

通过TCP的SYN和FIN判断一条流的开始和结束

同一源地址与目的地址的数据包在时间上的间隔小于指定的超时值，则判断该流处于活动状态。

方向性：单向or双向

单端点or双端点

端点粒度：app，终端，局域网，服务器

协议层：TCP，UDP，HTTP等等

根据流超时值划分为多个小流

组流：流聚合，可根据端点粒度划分

不同流的特性存在差异

优点：频繁地创建和清除流的方式，需要的内存资源更少

缺点：需要更大的CPU功率和更多内存管理资源。即使观测的网络流尚未结束，流也可能判定为超时，从而产生重新建立该流导致的潜在处理延迟和处理成本。

优点：较低的CPU功率和较少内存管理资源，不易发生流分裂。

缺点：容易对内存造成负担，导致流记录溢出从而丢失应有的流条目。