Dostępny jest kolektor Xenoeye Netflow, który umożliwia zbieranie statystyk dotyczących potoków ruchu z różnych urządzeń sieciowych, przesyłanych za pomocą protokołów Netflow v9 i IPFIX, przetwarzanie danych, generowanie raportów i budowanie wykresów. Ponadto kolektor może uruchamiać niestandardowe skrypty w przypadku przekroczenia progów. Trzon projektu napisany jest w języku C, kod rozpowszechniany jest na licencji ISC.
Funkcje kolekcjonerskie:
- Dane zagregowane według wymaganych pól Netflow są eksportowane do PostgreSQL. Wewnątrz zbiornika następuje wstępna agregacja.
- Standardowo obsługiwany jest tylko podstawowy zestaw pól Netflow, ale można dodać prawie dowolne pole.
- Wydajność kolektora, w zależności od charakteru ruchu i raportów, może sięgać kilkuset tysięcy „przepływów na sekundę” na jednym procesorze. Model rozkładu obciążenia dotyczy urządzenia (routera) i przepływu.
- Kolektor wykorzystuje średnie kroczące do obliczenia prędkości ruchu.
- Kolektora można używać do wyszukiwania zainfekowanych hostów (wysyłanie spamu e-mailowego, zalew HTTP(S), skanery SSH) w celu wykrywania nagłych serii ataków DoS/DDoS.
- Raporty sieciowe można wizualizować za pomocą różnych narzędzi: gnuplot, skrypty Python + Matplotlib, używając Grafana
- W przeciwieństwie do wielu współczesnych kolektorów, w projekcie nie wykorzystuje się Apache Kafka, Elastic itp., główne obliczenia odbywają się wewnątrz samego kolektora.
Źródło: opennet.ru