Доступний Netflow-колектор Xenoeye, який дозволяє збирати з різних мережних пристроїв статистику про потоки трафіку, що передається з використанням протоколів Netflow v9 та IPFIX, обробляти дані, генерувати звіти та будувати графіки. Крім цього, колектор може запускати користувацькі скрипти при перевищенні порогів. Ядро проекту написане мовою С, код поширюється під ліцензією ISC.
Особливості колектора:
- Агреговані за потрібними Netflow-полями дані експортуються до PostgreSQL. Попередня агрегація відбувається усередині колектора.
- З коробки підтримується лише базовий набір Netflow полів, але можна додати майже будь-яке поле.
- Продуктивність колектора в залежності від характеру трафіку та звітів може досягати кількох сотень тисяч "flows per second" на одному CPU. Модель розподілу навантаження - за пристроєм (маршрутизатором) на потік.
- Колектор використовує середні ковзаючі для підрахунку перевищення швидкості трафіку.
- Колектор можна використовувати для пошуку заражених хостів (що розсилають поштовий спам, HTTP(S)-flood, SSH-сканерів), для визначення різких сплесків при DoS/DDoS-атаках.
- Мережеві звіти можна візуалізувати за допомогою різних утиліт: gnuplot, скриптами на Python + Matplotlib, використовуючи Grafana
- На відміну від багатьох сучасних колекторів у проекті не використовуються Apache Kafka, Elastic тощо, основні розрахунки відбуваються всередині колектора.
Джерело: opennet.ru