Le collecteur Xenoeye Netflow est disponible, ce qui vous permet de collecter des statistiques de flux de trafic à partir de divers périphériques réseau transmis à l'aide des protocoles Netflow v9 et IPFIX, de traiter les données, de générer des rapports et de créer des graphiques. De plus, le collecteur peut exécuter des scripts personnalisés lorsque les seuils sont dépassés. Le cœur du projet est écrit en C, le code est distribué sous licence ISC.
Caractéristiques du collecteur :
- Les données agrégées par les champs Netflow requis sont exportées vers PostgreSQL. La pré-agrégation a lieu au sein du collecteur.
- Seul l'ensemble de base des champs Netflow est pris en charge par défaut, mais presque tous les champs peuvent être ajoutés.
- Les performances du collecteur, selon la nature du trafic et des rapports, peuvent atteindre plusieurs centaines de milliers de « flux par seconde » sur un seul CPU. Le modèle de répartition de la charge est par périphérique (routeur) et par thread.
- Le collecteur utilise des moyennes mobiles pour calculer les dépassements de trafic.
- Le collecteur peut être utilisé pour rechercher des hôtes infectés (envoi de spam par courrier électronique, inondation HTTP(S), scanners SSH) afin de détecter les pics d'attaques DoS/DDoS.
- Les rapports réseau peuvent être visualisés à l'aide de divers utilitaires : gnuplot, scripts Python + Matplotlib utilisant Grafana
- Contrairement à de nombreux collecteurs modernes, le projet n'utilise pas Apache Kafka, Elastic, etc., les principaux calculs ont lieu à l'intérieur du collecteur lui-même.
Source: opennet.ru