On Tue, Dec 23, 2008 at 10:09:49AM +0200, Gregory Edigarov writes:
Ну сильно-то по netflow трафик не проанализировать с точки зрения безопасности. Простое детектирование DoS/DDoS-атак (т.е. реакция на всплеск pps или bps, откуда/куда, tcp/udp/icmp, порты, syn flood) - я не нашёл, пришлось делать свою. Слушает netflow (full или sampled), собирает статистику, рапортует об аномалиях в лог, через tcp-chat или запуском внешнего процесса (например, отправки почты). Может вместо netflow слушать SPAN-порт, но это для более-менее серьёзных объёмов мало применимо.
cvs -d :pserver:cvs@happy.kiev.ua:/cvs co dds
А можете подсказать, каким алгоритмом делалось детектирование всплесков? или оно просто рапортует превыщение неких границ?
Просто рапортует о превышении установленных в конфиге границ. Например, более, чем 10K udp pps на хост клиента с одного хоста в мире или более, чем 2K tcp syn pps на один порт одного хоста клиента. Детектировать всплески как аномалии - IMHO было бы слишком много ложных срабатываний, например, если где-то запустили видеоконференцию. -- Паша.