Опубликован Netflow-коллектор Xenoeye

12.04.2023 16:04

Доступен Netflow-коллектор Xenoeye, который позволяет собирать с различных сетевых устройств статистику о потоках трафика, передаваемую с использованием протоколов Netflow v9 и IPFIX, обрабатывать данные, генерировать отчёты и строить графики. Кроме этого, коллектор может запускать пользовательские скрипты при превышении порогов. Ядро проекта написано на языке С, код распространяется под лицензией ISC.

Особенности коллектора:

Агрегированные по нужным Netflow-полям данные экспортируются в PostgreSQL. Предварительная агрегация происходит внутри коллектора.
Из коробки поддерживается только базовый набор Netflow-полей, но можно добавить почти любое поле.
Производительность коллектора в зависимости от характера трафика и отчётов может достигать нескольких сотен тысяч "flows per second" на одном CPU. Модель распределения нагрузки - по устройству (маршрутизатору) на поток.
Коллектор использует скользящие средние для подсчёта превышения скорости трафика.
Коллектор можно использовать для поиска заражённых хостов (рассылающих почтовый спам, HTTP(S)-flood, SSH-сканеров), для определения резких всплесков при DoS/DDoS-атаках.
Сетевые отчёты можно можно визуализировать с помощью разных утилит: gnuplot, скриптами на Python + Matplotlib, используя Grafana
В отличие от многих современных коллекторов в проекте не используются Apache Kafka, Elastic и т.п., основные рассчёты происходят внутри самого коллектора.

исправить +11 +/–

Автор новости: Аноним

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/58958-netflow

Ключевые слова: netflow, xenoeye

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (36)

1.1, Аноним (1), 22:30, 12/04/2023 [ответить] [﹢﹢﹢] [ · · · ]	–4 +/–
Мне название не нравится, плохой маркетинг, не взлетит.

1.2, Аноним (2), 22:54, 12/04/2023 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
А кто в теме, поясните, зачем оно?

2.8, швондер (?), 00:04, 13/04/2023 [^] [^^] [^^^] [ответить]	+2 +/–
Коллектор использует скользящие средние для подсчёта превышения скорости трафика. Коллектор можно использовать для поиска заражённых хостов (рассылающих почтовый спам, HTTP(S)-flood, SSH-сканеров), для определения резких всплесков при DoS/DDoS-атаках.

2.10, Аноним (10), 00:22, 13/04/2023 [^] [^^] [^^^] [ответить]	+4 +/–
Для сбора нетфлоу очевидно. Что это такое - гугл в помощь.

3.13, швондер (?), 01:28, 13/04/2023 [^] [^^] [^^^] [ответить]	+2 +/–
коллекторов как грязи еще в конце нулевых было.

4.16, Аноним (16), 07:15, 13/04/2023 [^] [^^] [^^^] [ответить]

+3 +/–

> коллекторов как грязи еще в конце нулевых было

Почему-то их любили писать на Java и на каких-то скриптовых языках.

Из опенсорсных выжило с тех времен буквально 1.5 штуки - простейший nfdump и полу-коммерческий FastNetMon.

Сейчас, в 2023 ситуация очень непонятная. Иностранные коммерческие коллекторы закрыли даже доступ к своим сайтам для русских IP

https://www.solarwinds.com/netflow-traffic-analyzer

https://www.plixer.com/products/scrutinizer/

Непонятно зачем, их все равно легально нельзя купить. Насколько я понимаю, FastNetMon тоже не продает коммерческие версии, хотя Павел вроде как из России. У него на github-странице написано что разработкой занимается какое-то LTD из Лондона.

Современные опенсорсные коллекторы массово появились, когда Cloudflare выложили в свободный доступ свою netflow-библиотеку goflow. Сейчас классический опенсорс коллектор это экспортер на go + Kafka/Elastic/Greylog + какое-то хранилище + визуализатор. Докеры, кластеры, пайплайны, терабайтные хранилища, вот это все

5.38, Анонанон (?), 09:12, 14/04/2023 [^] [^^] [^^^] [ответить]	+/–
Nfacctd (из состава pmacct) вполне себе жив, шустр и кошерен. Но это только коллектор, морду/экспортер к нему надо самому пилить.

5.41, pofigist (?), 11:13, 16/04/2023 [^] [^^] [^^^] [ответить]	+/–
А как же https://www.ntop.org/?

6.42, Аноним (16), 08:18, 18/04/2023 [^] [^^] [^^^] [ответить]	+/–
> А как же https://www.ntop.org/ Ни разу не видел чтобы кто-то им пользовался именно для netflow

7.45, pofigist (?), 16:32, 20/04/2023 [^] [^^] [^^^] [ответить]	+/–
А он именно под него и заточен изначально.

2.15, Аноним (16), 06:54, 13/04/2023 [^] [^^] [^^^] [ответить]	+/–
Для продвинутого сетевого мониторинга. По IP адресам, протоколам, портам, TCP-флагам. И по другим полям, которые могут быть в netflow (а их может быть дофига разных). AS, VLAN, номер порта и т.п.

2.30, ivan_erohin (?), 10:04, 13/04/2023 [^] [^^] [^^^] [ответить]	–2 +/–
для закона Мизулиной (или закона Яровой ? забыл точно кто из этих дурных баб - кто). я в свое время для сверки с провайдером обходился ipacctd.

1.9, Аноним (10), 00:20, 13/04/2023 [ответить] [﹢﹢﹢] [ · · · ]	–10 +/–
>Ядро проекта написано на языке С Кому-то нужно, чтобы его флоу стали общедоступны из-за очередной уязвимости? Вперёд и с песней использовать коллектор на Це =)

2.11, Аноним (11), 00:50, 13/04/2023 [^] [^^] [^^^] [ответить]	+4 +/–
Просто серьезные вещи для рельного применения пишут на Це очень даже.

3.12, Аноним (12), 01:24, 13/04/2023 [^] [^^] [^^^] [ответить]	–2 +/–
дооооо, инкремент в табличке значения в соотв паттерн-матчингом по полю - серьезная вещь, куда уж

4.14, Аноним (14), 04:39, 13/04/2023 [^] [^^] [^^^] [ответить]	+/–
Так в чем собственно вопрос в надежности и безопасности Си? Или в быстродействии Rust?

5.18, Аноним (18), 08:09, 13/04/2023 [^] [^^] [^^^] [ответить]	+/–
В быстродействии чего?

2.17, Аноним (16), 07:30, 13/04/2023 [^] [^^] [^^^] [ответить]

+/–

> Кому-то нужно, чтобы его флоу стали общедоступны из-за очередной уязвимости?

Непонятно, что вы этим хотели сказать. Netflow экспортируется от роутера к коллектору, это обычно происходит внутри доверенной сети. Из дикого интернета netflow никто не принимает. Он (обычно) ходит по UDP, адрес источника можно легко заспуфить.

Единственное, что из коллектора может торчать наружу - это визуализатор, например Grafana. Или самодельная страничка с отчетами. Но если там найдут дыры, то претензии уже не к коллектору

3.20, Аноним (18), 08:11, 13/04/2023 [^] [^^] [^^^] [ответить]	+/–
Недоброжелатели обычно тусят именно в доверенной сети. И обычно этот тот человек, который сидит рядом с тобой и которому ты максимально доверяешь.

4.21, жявамэн (ok), 08:20, 13/04/2023 [^] [^^] [^^^] [ответить]	+/–
этот недоброжелатель он сейчас с тобой в комнате? под кроватью посмотри кстати

5.24, Аноним (24), 08:37, 13/04/2023 [^] [^^] [^^^] [ответить]	+2 +/–
> под кроватью посмотри кстати Нашёл! Спасибо за подсказку.

4.23, Аноним (16), 08:35, 13/04/2023 [^] [^^] [^^^] [ответить]	+/–
> Недоброжелатели обычно тусят именно в доверенной сети А зачем тогда недоброжелателю искать дыры в коллекторе? Он же может и так сделать флоу общедоступными?

3.35, Аноним (35), 16:56, 13/04/2023 [^] [^^] [^^^] [ответить]	+/–
> происходит внутри доверенной сети Таких сетей существует ровно две: ::1/128 и 127.0.0.0/8. Все остальные сети недоверенные.

2.22, яя (?), 08:24, 13/04/2023 [^] [^^] [^^^] [ответить]	+1 +/–
можно подумать дыры зависят от языка, а не от человеческого фактора...

1.19, Catwoolfii (ok), 08:10, 13/04/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
В свое время остановился на logstash, там препроцессинг удобнее. Да и выводить данные можно почти куда угодно.

2.25, Аноним (16), 08:55, 13/04/2023 [^] [^^] [^^^] [ответить]

+/–

Elastic стек, скажем так, на любителя.

У них еще произошла смена лицензий, часть продуктов стали не совсем open source:

https://www.elastic.co/pricing/faq/licensing#elasticsearch-kibana-open-source

> Neither the Elastic License nor SSPL have been approved by the OSI, so to prevent confusion, we no longer refer to Elasticsearch or Kibana as open source

То есть пока для обычных пользователей вроде как ничего не изменилось, но кто знает что им дальше придет в голову

3.32, Catwoolfii (ok), 11:36, 13/04/2023 [^] [^^] [^^^] [ответить]	+/–
Не, у меня: logstash -> clickhouse -> grafana

1.27, Tron is Whistling (?), 09:18, 13/04/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Um, и зачем это, если есть flowd?

2.28, Tron is Whistling (?), 09:19, 13/04/2023 [^] [^^] [^^^] [ответить]	+/–
Еще nfdump есть. Вообще, какой смысл у сий поделки? Что там такого, чего бы не хватало в имеющемся?

3.29, 1 (??), 09:35, 13/04/2023 [^] [^^] [^^^] [ответить]	+/–
> Производительность коллектора в зависимости от характера трафика и отчётов может достигать нескольких сотен тысяч "flows per second" на одном CPU. Для этого

4.37, Tron is Whistling (?), 09:02, 14/04/2023 [^] [^^] [^^^] [ответить]	+/–
nfdump вполне себе справляется и с бОльшим количеством, вне зависимости от характера трафика :D

5.43, Аноним (16), 08:26, 18/04/2023 [^] [^^] [^^^] [ответить]	+/–
> nfdump вполне себе справляется и с бОльшим количеством, вне зависимости от характера трафика :D Понятно. nfdump - это определенно не самый быстрый коллектор. Слово dump в названии кагбе намекает, что он пишет все фловы на диск и только потом их обрабатывает

6.44, Tron is Whistling (?), 09:15, 18/04/2023 [^] [^^] [^^^] [ответить]	+/–
Нет, если тебе надо обрабатывать вот строго одним алкоритмом - да, можно не писать. Но если у тебя пост-аналитика и возможны изменяющиеся обработки - придётся писать, куда ты денешься. Ну и опять же, "диск" - понятие очень растяжимое. tmpfs и zram - диск или не диск?

2.33, Аноним (16), 11:51, 13/04/2023 [^] [^^] [^^^] [ответить]

+/–

flowd настолько прекрасен, что им уже лет 10 не пользуются даже авторы.

Выше написал - из старых коллекторов остались более-менее в живых только FastNetMon и nfdump. Причем у FastNetMon все интересное только в коммерческих версиях.

Можно считать, что xenoeye это такой гибрид nfdump (для отчетов, графиков, поиска аномалий в трафике) + FastNetMon (для быстрой реакции на пробитие порогов) + экспорт в Grafana для современных дашбордов

3.36, Tron is Whistling (?), 09:02, 14/04/2023 [^] [^^] [^^^] [ответить]	–1 +/–
Ну короче смузихлёбство, я понял.

1.40, Аноним (40), 17:44, 14/04/2023 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Хочется поблагодарить авторов и пожелать им успехов.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: