Elérhető a Xenoeye Netflow gyűjtő, amellyel statisztikákat gyűjthet a különféle hálózati eszközökről érkező, Netflow v9 és IPFIX protokollok használatával továbbított forgalomról, feldolgozhatja az adatokat, jelentéseket generálhat és grafikonokat készíthet. Ezenkívül a gyűjtő egyéni szkripteket is futtathat a küszöbértékek túllépése esetén. A projekt magja C-ben van megírva, a kód az ISC licenc alatt kerül terjesztésre.
A gyűjtő jellemzői:
- A szükséges Netflow mezők által összesített adatok a PostgreSQL-be kerülnek exportálásra. Az elő-aggregáció a tározón belül történik.
- A dobozból csak a Netflow mezők alapkészlete támogatott, de szinte bármilyen mezőt hozzáadhat.
- A gyűjtő teljesítménye, a forgalom és a jelentések jellegétől függően, egy CPU-n elérheti a több százezres „folyamat másodpercenként”. A terheléselosztási modell eszközönként (útválasztónként) áramlásonként értendő.
- A gyűjtő mozgóátlagokat használ a forgalmi sebesség kiszámításához.
- A gyűjtő használható fertőzött gazdagépek keresésére (levélszemét küldése, HTTP(S)-flood, SSH szkennerek), DoS/DDoS támadások során fellépő hirtelen törések észlelésére.
- A hálózati jelentések különböző segédprogramokkal jeleníthetők meg: gnuplot, Python szkriptek + Matplotlib, a Grafana segítségével
- Sok modern kollektortól eltérően a projekt nem használ Apache Kafka-t, Elastic-ot stb., a fő számítások magában a kollektorban zajlanak.
Forrás: opennet.ru
