Ага, спасибо<br><br><div class="gmail_quote">2008/12/23 Pavel Gulchouck <span dir="ltr">&lt;<a href="mailto:gul@gul.kiev.ua">gul@gul.kiev.ua</a>&gt;</span><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
 &nbsp;Hi!<div class="Ih2E3d"><br>
<br>
On Mon, Dec 22, 2008 at 11:21:27PM +0200, Vladimir Litovka writes:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
а знает кто-нибудь о существовании open-source / free продуктов, которые<br>
могут делать [realtime] netflow-based security analysis?<br>
</blockquote>
<br></div>
Ну сильно-то по netflow трафик не проанализировать с точки зрения безопасности. Простое детектирование DoS/DDoS-атак (т.е. реакция на всплеск pps или bps, откуда/куда, tcp/udp/icmp, порты, syn flood) - я не нашёл, пришлось делать свою.<br>

Слушает netflow (full или sampled), собирает статистику, рапортует об аномалиях в лог, через tcp-chat или запуском внешнего процесса (например, отправки почты).<br>
Может вместо netflow слушать SPAN-порт, но это для более-менее серьёзных объёмов мало применимо.<br>
<br>
cvs -d :pserver:cvs@happy.kiev.ua:/cvs co dds<br><font color="#888888">
<br>
-- <br>
Паша.<br>
</font></blockquote></div><br><br clear="all"><br>-- <br>/doka<br>