Дата публикации:Wed, 12 Apr 2023 16:04:00 +0300
Доступен Netflow-коллектор Xenoeye, который позволяет собирать с различных сетевых устройств статистику о потоках трафика, передаваемую с использованием протоколов Netflow v9 и IPFIX, обрабатывать данные, генерировать отчёты и строить графики. Кроме этого, коллектор может запускать пользовательские скрипты при превышении порогов. Ядро проекта написано на языке С, код распространяется под лицензией ISC.
Особенности коллектора:
- Агрегированные по нужным Netflow-полям данные экспортируются в PostgreSQL. Предварительная агрегация происходит внутри коллектора.
Из коробки поддерживается только базовый набор Netflow-полей, но можно добавить почти любое поле.
Производительность коллектора в зависимости от характера трафика и отчётов может достигать нескольких сотен тысяч "flows per second" на одном CPU. Модель распределения нагрузки - по устройству (маршрутизатору) на поток.
Коллектор использует скользящие средние для подсчёта превышения скорости трафика.
Коллектор можно использовать для поиска заражённых хостов (рассылающих почтовый спам, HTTP(S)-flood, SSH-сканеров), для определения резких всплесков при DoS/DDoS-атаках.
Сетевые отчёты можно можно визуализировать с помощью разных утилит: gnuplot, скриптами на Python + Matplotlib, используя Grafana
В отличие от многих современных коллекторов в проекте не используются Apache Kafka, Elastic и т.п., основные рассчёты происходят внутри самого коллектора.
Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=58958