Hi! On Mon, Dec 22, 2008 at 11:21:27PM +0200, Vladimir Litovka writes:
а знает кто-нибудь о существовании open-source / free продуктов, которые могут делать [realtime] netflow-based security analysis?
Ну сильно-то по netflow трафик не проанализировать с точки зрения безопасности. Простое детектирование DoS/DDoS-атак (т.е. реакция на всплеск pps или bps, откуда/куда, tcp/udp/icmp, порты, syn flood) - я не нашёл, пришлось делать свою. Слушает netflow (full или sampled), собирает статистику, рапортует об аномалиях в лог, через tcp-chat или запуском внешнего процесса (например, отправки почты). Может вместо netflow слушать SPAN-порт, но это для более-менее серьёзных объёмов мало применимо. cvs -d :pserver:cvs@happy.kiev.ua:/cvs co dds -- Паша.