Er is de Xenoeye Netflow-collector beschikbaar, waarmee u statistieken kunt verzamelen over verkeersstromen van verschillende netwerkapparaten, verzonden met behulp van de Netflow v9- en IPFIX-protocollen, gegevens kunt verwerken, rapporten kunt genereren en grafieken kunt maken. Bovendien kan de verzamelaar aangepaste scripts uitvoeren wanneer drempelwaarden worden overschreden. De kern van het project is geschreven in C, de code wordt gedistribueerd onder de ISC-licentie.
Verzamelaarsfuncties:
- Gegevens die zijn verzameld door de vereiste Netflow-velden worden geëxporteerd naar PostgreSQL. Pre-aggregatie vindt plaats in het reservoir.
- Standaard wordt alleen een basisset Netflow-velden ondersteund, maar u kunt vrijwel elk veld toevoegen.
- De prestaties van de collector kunnen, afhankelijk van de aard van het verkeer en de rapporten, enkele honderdduizenden ‘stromen per seconde’ op één CPU bereiken. Het belastingverdelingsmodel is per apparaat (router) per stroom.
- De verzamelaar gebruikt voortschrijdende gemiddelden om de snelheid van het verkeer te berekenen.
- De collector kan worden gebruikt om te zoeken naar geïnfecteerde hosts (het verzenden van e-mailspam, HTTP(S)-flood, SSH-scanners) om plotselinge uitbarstingen tijdens DoS/DDoS-aanvallen te detecteren.
- Netwerkrapporten kunnen worden gevisualiseerd met behulp van verschillende hulpprogramma's: gnuplot, Python-scripts + Matplotlib, met behulp van Grafana
- In tegenstelling tot veel moderne verzamelaars maakt het project geen gebruik van Apache Kafka, Elastic, enz.; de belangrijkste berekeningen vinden plaats in de verzamelaar zelf.
Bron: opennet.ru