Es ist der Xenoeye Netflow-Kollektor verfügbar, mit dem Sie Statistiken über Verkehrsflüsse von verschiedenen Netzwerkgeräten sammeln, die mithilfe der Protokolle Netflow v9 und IPFIX übertragen werden, Daten verarbeiten, Berichte erstellen und Diagramme erstellen können. Darüber hinaus kann der Collector benutzerdefinierte Skripts ausführen, wenn Schwellenwerte überschritten werden. Der Kern des Projekts ist in C geschrieben, der Code wird unter der ISC-Lizenz vertrieben.
Sammlerfunktionen:
- Von den erforderlichen Netflow-Feldern aggregierte Daten werden nach PostgreSQL exportiert. Im Inneren des Reservoirs findet eine Voraggregation statt.
- Standardmäßig wird nur ein grundlegender Satz von Netflow-Feldern unterstützt, Sie können jedoch fast jedes Feld hinzufügen.
- Die Leistung des Kollektors kann je nach Art des Datenverkehrs und der Berichte mehrere Hunderttausend „Flows pro Sekunde“ auf einer CPU erreichen. Das Lastverteilungsmodell erfolgt pro Gerät (Router) pro Fluss.
- Der Kollektor verwendet gleitende Durchschnitte, um die Geschwindigkeitsüberschreitung im Verkehr zu berechnen.
- Der Collector kann zur Suche nach infizierten Hosts (Versenden von E-Mail-Spam, HTTP(S)-Flood, SSH-Scanner) verwendet werden, um plötzliche Ausbrüche bei DoS/DDoS-Angriffen zu erkennen.
- Netzwerkberichte können mit verschiedenen Dienstprogrammen visualisiert werden: Gnuplot, Python-Skripte + Matplotlib, mit Grafana
- Im Gegensatz zu vielen modernen Kollektoren verwendet das Projekt nicht Apache Kafka, Elastic usw., die Hauptberechnungen finden im Kollektor selbst statt.
Source: opennet.ru