LINUX.ORG.RU

Ответ на: комментарий от TheMixa

> ipt-netflow +1 Но это для учета а не подсчета или IDS, ибо снимает снимает статистику с iptables

Если нужно прям все то это на pcap нужно чтото вроде http://www.mindrot.org/projects/flowd/


ipt-netflow на пару-тройку _порядков_ менее прожорлив решений серез libpcap.
Это раз. А два - это почему решения для iptables не годятся в качестве ids ?

AS ★★★★★
()

Последний мой опыт с softflowd показал, что он не делит входящий и выходящий трафик - так что в первом приближении я бы не рекомендовал. Правда, это было на FreeBSD и, дополнительно, я могу не уметь его готовить (хотя в настройках вроде нет ничего такого на тему направления трафика).

Cyril ★★
()
Ответ на: комментарий от AS

ipt_netflow естественно быстрее чем libpcap в юзерспейсе, но ведь не весь трафик попадет в iptables, для бескомпромиссной IDS это не приемлемо.

Поэтому если нужно анализировать только проходящий трафик ipt_netflow пока лучшее что есть, в противном случе надо смотреть на pcap и стоит попробовать вышеупомянутый flowd

TheMixa ★★★
()
Ответ на: комментарий от TheMixa

> ipt_netflow естественно быстрее чем libpcap в юзерспейсе, но ведь не весь трафик попадет в iptables,

IP - весь.

AS ★★★★★
()
Ответ на: комментарий от AS

А, с IPv6 проблема есть - для v6 модуля нет пока.

AS ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.