K dispozici je Xenoeye Netflow kolektor, který umožňuje sbírat statistiky o dopravních tocích z různých síťových zařízení, přenášených pomocí protokolů Netflow v9 a IPFIX, zpracovávat data, generovat reporty a sestavovat grafy. Kromě toho může kolektor při překročení prahových hodnot spouštět vlastní skripty. Jádro projektu je napsáno v C, kód je šířen pod licencí ISC.
Vlastnosti sběratele:
- Data agregovaná podle požadovaných polí Netflow se exportují do PostgreSQL. K předagregaci dochází uvnitř zásobníku.
- Po vybalení je podporována pouze základní sada polí Netflow, ale můžete přidat téměř jakékoli pole.
- Výkon kolektoru může v závislosti na povaze provozu a zpráv dosáhnout několika stovek tisíc „toků za sekundu“ na jednom CPU. Model rozložení zátěže je na zařízení (router) na tok.
- Kolektor používá klouzavé průměry k výpočtu rychlosti dopravy.
- Kolektor lze použít k vyhledávání infikovaných hostitelů (zasílání e-mailových spamů, HTTP(S)-flood, SSH skenery), k detekci náhlých výbuchů během DoS/DDoS útoků.
- Síťové sestavy lze vizualizovat pomocí různých nástrojů: gnuplot, skripty Python + Matplotlib, pomocí Grafany
- Na rozdíl od mnoha moderních kolektorů projekt nepoužívá Apache Kafka, Elastic atd., hlavní výpočty probíhají uvnitř kolektoru samotného.
Zdroj: opennet.ru