O coletor Netflow Xenoeye já está disponível. Ele permite coletar estatísticas de fluxo de tráfego de diversos dispositivos de rede usando os protocolos Netflow v9 e IPFIX, processar os dados, gerar relatórios e criar gráficos. Além disso, o coletor pode executar scripts personalizados quando os limites são excedidos. O núcleo do projeto é escrito em C e o código é distribuído sob a licença ISC.
Características do colecionador:
- Os dados agregados pelos campos Netflow necessários são exportados para o PostgreSQL. A pré-agregação ocorre dentro do coletor.
- Apenas um conjunto básico de campos Netflow é suportado por padrão, mas você pode adicionar praticamente qualquer campo.
- Dependendo da natureza do tráfego e dos relatórios, o desempenho do coletor pode atingir várias centenas de milhares de fluxos por segundo em uma única CPU. O modelo de distribuição de carga é por dispositivo (roteador) por fluxo.
- O coletor utiliza médias móveis para calcular a velocidade do tráfego.
- O coletor pode ser usado para procurar hosts infectados (envio de spam por e-mail, inundação HTTP(S), scanners SSH), para identificar picos acentuados em ataques DoS/DDoS.
- Os relatórios de rede podem ser visualizados usando várias ferramentas: gnuplot, scripts Python + Matplotlib, usando o Grafana.
- Diferentemente de muitos coletores modernos, este projeto não utiliza Apache Kafka, Elastic, etc.; os cálculos principais ocorrem dentro do próprio coletor.
Fonte: opennet.ru
