[hub00]

Обращаюсь ко всем кто занимается администрированием сетей, как вы анализируете сетевой трафик? Я думаю вы не сидите онлайн в айпитрафах или тспидампах, ну как по мне в случае крайней необходимости, трудно проанализировать весь этот поток данных и сразу увидеть какие-то закономерности. Хочется иметь перед глазами подробную информацию о трафике в данную минуту, в виде графиков ну или чего-то подобного. К примеру началась атака, чтоб ты сразу видел когда началась, откуда она идет, какой тип трафика. Т.е иметь максимум информации, которая поможет устранить это на начальных этапах, а не когда все упало. Ну или просто знать что из 100% все сетевого трафика, у тебя столько процентов того, столько того, а вот сегодня появилось столько другого.

 

Интересно услышать ваши мысли, естественно луче если они будут конструктивные и земные (не такие типа "Купи то-то за столько K$ и будет тебе счастье").

 

 

 

 

[TiFFolk]

IPS и IDS

[telematic]

Интересно услышать ваши мысли, естественно луче если они будут конструктивные и земные (не такие типа "Купи то-то за столько K$ и будет тебе счастье").

Всё-таки рискну дать подобный совет.

Отлично для ваших задач подходят решения типа Cisco SCE или Allot Net Enforcer. Всё очень красиво, удобно, с графиками и "на лету".

Но, сцуко, дорого :-))))

[hub00]

IPS и IDS

Какие именно ты используешь продукты, как анализируешь данные? Расскажи подробнее. Свое мнение вырази.

[TiFFolk]

ntop и snort.

А есть еще комммерческие от Cisco, Juniper, Arbor

[hub00]

Интересно услышать ваши мысли, естественно луче если они будут конструктивные и земные (не такие типа "Купи то-то за столько K$ и будет тебе счастье").

Всё-таки рискну дать подобный совет.

Отлично для ваших задач подходят решения типа Cisco SCE или Allot Net Enforcer. Всё очень красиво, удобно, с графиками и "на лету".

Но, сцуко, дорого :-))))

Какую именно информацию там можно увидеть, как они её собирают? Меня эта информация интересует.

Я прекрасно понимаю что придется как всегда что-то свое придумывать, всякие скрипты прикручивать к примеру к мунину и еще к чему-то.

Хочется использовать ту информацию которой пользуются и которая приносит положительный результат.

 

 

Не знаю может кого-то и нет, но меня напрягает гонять трафик практически в слепую.

 

ntop и snort.

А есть еще комммерческие от Cisco, Juniper, Arbor

Спасибо за информацию.

Изменено 11 февраля, 2010 пользователем hub00

[TiFFolk]

ну откройте сайты по этим системам и почитайте =)

ntop строит статистические отчеты по траффику, а snort это IDS со всеми присущими ей функциями.

Данные они берут либо из netflow потока, либо с зеркального порта на каком-нить корневом свитче.

[hub00]

ну откройте сайты по этим системам и почитайте =)

ntop строит статистические отчеты по траффику, а snort это IDS со всеми присущими ей функциями.

Данные они берут либо из netflow потока, либо с зеркального порта на каком-нить корневом свитче.

Я просто хочу чтоб сюда максимум информации поступило.

[Dyr]

Сюда не надо, и так много бреда идёт. :)