O colector Xenoeye Netflow está dispoñible, que permite recoller estatísticas de fluxo de tráfico de varios dispositivos de rede transmitidos mediante os protocolos Netflow v9 e IPFIX, procesar datos, xerar informes e crear gráficos. Ademais, o colector pode executar scripts personalizados cando se superan os limiares. O núcleo do proxecto está escrito en C, o código distribúese baixo a licenza ISC.
Características do coleccionista:
- Os datos agregados polos campos de Netflow necesarios expórtanse a PostgreSQL. A pre-agregación ten lugar dentro do colector.
- Só se admite o conxunto básico de campos de Netflow, pero pódese engadir case calquera campo.
- O rendemento do colector, dependendo da natureza do tráfico e dos informes, pode alcanzar varios centos de miles de "fluxos por segundo" nunha única CPU. O modelo de distribución de carga é por dispositivo (router) por fío.
- O colector utiliza medias móbiles para calcular os excesos de tráfico.
- O colector pódese usar para buscar hosts infectados (envío de correo lixo, HTTP(S)-flood, escáneres SSH), para detectar picos nos ataques DoS/DDoS.
- Os informes de rede pódense visualizar usando varias utilidades: gnuplot, scripts Python + Matplotlib usando Grafana
- A diferenza de moitos coleccionistas modernos, o proxecto non usa Apache Kafka, Elastic, etc., os principais cálculos teñen lugar dentro do propio colector.
Fonte: opennet.ru