У меня есть клиент с ограниченным бюджетом, который хочет увидеть, когда есть атака ddos в сети, чтобы они могли черным дыром маршрутизировать атаку с помощью домотканого инструмента. В настоящее время у них есть устройства, экспортирующие только поток sflow. Сисадмин говорит, что им нужно различное оборудование и полный экспорт нетто-трафика для обнаружения ddos, это точно?может sflow работать для мониторинга ddos
ответ
По моему опыту Sflow на самом деле очень хорошо для быстрого обнаружения DDoS, по крайней мере, для объемных DDoS-атак типа атак отражения или пакетных наводнений. Причина этого кроется в различиях между sFlow и NetFlow.
NetFlow сохраняет состояние в маршрутизаторе, и если поток неактивен в течение некоторого времени (обычно 15 секунд или около того) или длится долго (обычно 60 секунд), то суммарное состояние этого потока отправляется в коллектор. Это означает, что будет сделан точный учет трафика, но может не дойти до вашего детектора до тех пор, пока атака не пройдет уже минуту!
В отличие от NetFlow, стратегия sFlow заключается в отправке образцов пакетов каждые 1 в N (обычно 1/512 или 1/1024 или около того). Это означает, что ваше программное обеспечение обнаружения может «видеть» атаку почти сразу!
Итак, придерживайтесь экспорта sFlow, не нужно добавлять оборудование. Ниже приведена дополнительная информация о различиях между NetFlow и sFlow: http://www.flowtraq.com/corporate/resources/whitepapers/the-netflowsflowcflowjflow-flow-dilemma/
Нет необходимости заменять сетевое оборудование, sFlow хорошо работает для обнаружения DDoS. Вот несколько инструментов DDoS смягчающих на GitHub:
На самом деле вы определенно можете использовать sFLOW для обнаружения DDoS. Как автор FastNetMon я мог бы рекомендовать использовать sflow вместо netflow. Но, пожалуйста, имейте в виду, что вы должны выбрать правильный sflow sample_rate для него.
Проверьте эту замечательную ссылку о выборе правильной частоты дискретизации в соответствии с вашим количеством трафика: http://blog.sflow.com/2009/06/sampling-rates.html