K dispozícii je Xenoeye Netflow kolektor, ktorý umožňuje zbierať štatistiky toku prevádzky z rôznych sieťových zariadení prenášaných pomocou protokolov Netflow v9 a IPFIX, spracovávať dáta, generovať reporty a vytvárať grafy. Okrem toho môže kolektor pri prekročení prahových hodnôt spúšťať vlastné skripty. Jadro projektu je napísané v jazyku C, kód je šírený pod licenciou ISC.
Vlastnosti zberača:
- Údaje agregované podľa požadovaných polí Netflow sa exportujú do PostgreSQL. Vo vnútri kolektora prebieha predagregácia.
- Po vybalení je podporovaná iba základná sada polí Netflow, ale pridať je možné takmer každé pole.
- Výkon kolektora v závislosti od charakteru prevádzky a správ môže dosiahnuť niekoľko stoviek tisíc "tokov za sekundu" na jednom CPU. Model rozloženia zaťaženia je na zariadenie (smerovač) na vlákno.
- Kolektor používa kĺzavé priemery na výpočet prekročení návštevnosti.
- Kolektor môže byť použitý na vyhľadávanie infikovaných hostiteľov (odosielanie e-mailových spamov, HTTP(S)-flood, SSH-skenery), na detekciu špičiek v DoS/DDoS útokoch.
- Sieťové zostavy je možné vizualizovať pomocou rôznych nástrojov: gnuplot, skripty Python + Matplotlib pomocou Grafany
- Na rozdiel od mnohých moderných kolektorov projekt nepoužíva Apache Kafka, Elastic a pod., hlavné výpočty prebiehajú vo vnútri samotného kolektora.
Zdroj: opennet.ru