hub00 Опубликовано 11 февраля, 2010 · Жалоба Обращаюсь ко всем кто занимается администрированием сетей, как вы анализируете сетевой трафик? Я думаю вы не сидите онлайн в айпитрафах или тспидампах, ну как по мне в случае крайней необходимости, трудно проанализировать весь этот поток данных и сразу увидеть какие-то закономерности. Хочется иметь перед глазами подробную информацию о трафике в данную минуту, в виде графиков ну или чего-то подобного. К примеру началась атака, чтоб ты сразу видел когда началась, откуда она идет, какой тип трафика. Т.е иметь максимум информации, которая поможет устранить это на начальных этапах, а не когда все упало. Ну или просто знать что из 100% все сетевого трафика, у тебя столько процентов того, столько того, а вот сегодня появилось столько другого. Интересно услышать ваши мысли, естественно луче если они будут конструктивные и земные (не такие типа "Купи то-то за столько K$ и будет тебе счастье"). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TiFFolk Опубликовано 11 февраля, 2010 · Жалоба IPS и IDS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
telematic Опубликовано 11 февраля, 2010 · Жалоба Интересно услышать ваши мысли, естественно луче если они будут конструктивные и земные (не такие типа "Купи то-то за столько K$ и будет тебе счастье"). Всё-таки рискну дать подобный совет. Отлично для ваших задач подходят решения типа Cisco SCE или Allot Net Enforcer. Всё очень красиво, удобно, с графиками и "на лету". Но, сцуко, дорого :-)))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hub00 Опубликовано 11 февраля, 2010 · Жалоба IPS и IDS Какие именно ты используешь продукты, как анализируешь данные? Расскажи подробнее. Свое мнение вырази. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TiFFolk Опубликовано 11 февраля, 2010 · Жалоба ntop и snort. А есть еще комммерческие от Cisco, Juniper, Arbor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hub00 Опубликовано 11 февраля, 2010 (изменено) · Жалоба Интересно услышать ваши мысли, естественно луче если они будут конструктивные и земные (не такие типа "Купи то-то за столько K$ и будет тебе счастье"). Всё-таки рискну дать подобный совет. Отлично для ваших задач подходят решения типа Cisco SCE или Allot Net Enforcer. Всё очень красиво, удобно, с графиками и "на лету". Но, сцуко, дорого :-)))) Какую именно информацию там можно увидеть, как они её собирают? Меня эта информация интересует. Я прекрасно понимаю что придется как всегда что-то свое придумывать, всякие скрипты прикручивать к примеру к мунину и еще к чему-то. Хочется использовать ту информацию которой пользуются и которая приносит положительный результат. Не знаю может кого-то и нет, но меня напрягает гонять трафик практически в слепую. ntop и snort.А есть еще комммерческие от Cisco, Juniper, Arbor Спасибо за информацию. Изменено 11 февраля, 2010 пользователем hub00 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TiFFolk Опубликовано 11 февраля, 2010 · Жалоба ну откройте сайты по этим системам и почитайте =) ntop строит статистические отчеты по траффику, а snort это IDS со всеми присущими ей функциями. Данные они берут либо из netflow потока, либо с зеркального порта на каком-нить корневом свитче. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hub00 Опубликовано 11 февраля, 2010 · Жалоба ну откройте сайты по этим системам и почитайте =) ntop строит статистические отчеты по траффику, а snort это IDS со всеми присущими ей функциями. Данные они берут либо из netflow потока, либо с зеркального порта на каком-нить корневом свитче. Я просто хочу чтоб сюда максимум информации поступило. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dyr Опубликовано 15 февраля, 2010 · Жалоба Сюда не надо, и так много бреда идёт. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...