Está disponível o coletor Xenoeye Netflow, que permite coletar estatísticas sobre fluxos de tráfego de diversos dispositivos de rede, transmitidos pelos protocolos Netflow v9 e IPFIX, processar dados, gerar relatórios e construir gráficos. Além disso, o coletor pode executar scripts personalizados quando os limites forem excedidos. O núcleo do projeto é escrito em C, o código é distribuído sob licença ISC.
Recursos do coletor:
- Os dados agregados pelos campos obrigatórios do Netflow são exportados para PostgreSQL. A pré-agregação ocorre dentro do reservatório.
- Pronto para uso, apenas um conjunto básico de campos do Netflow é compatível, mas você pode adicionar praticamente qualquer campo.
- O desempenho do coletor, dependendo da natureza do tráfego e dos relatórios, pode atingir várias centenas de milhares de “fluxos por segundo” em uma CPU. O modelo de distribuição de carga é por dispositivo (roteador) por fluxo.
- O coletor usa médias móveis para calcular a velocidade do tráfego.
- O coletor pode ser usado para procurar hosts infectados (envio de spam de e-mail, inundação HTTP(S), scanners SSH), para detectar explosões repentinas durante ataques DoS/DDoS.
- Os relatórios de rede podem ser visualizados usando diferentes utilitários: gnuplot, scripts Python + Matplotlib, usando Grafana
- Ao contrário de muitos coletores modernos, o projeto não utiliza Apache Kafka, Elastic, etc., os principais cálculos ocorrem dentro do próprio coletor.
Fonte: opennet.ru