Обработка sflow

freebsd + ng_ipacct = должен заглотнуть и выплюнуть 1 гиг с лёгкостью, и коллекционируй сколка угодно трафика, трафф снимается ipacctctl консольной утилитой.

Этот на сколько я понял "система учета трафика", а у меня основная задача коллекционировать трафик для дальнейшего анализа и выявления аномального поведения, а не просто учет ..... Учитывать уже давно умеем без вопросов, хочется на лету разбирать трафик и если там к примеру мильен SYN пакетов куда-то валит - сигнализировать об этом операторов\администраторов.

А что если направить трафик через Ipfw ngtee в ноду конкретного значения, например 80 syn, и потом снимать уже ipacctctl , и анализировать, я думаю будет видно с какой скоростью syn с каждого ip.

Я скорее всего буду делать mirror порта на пограничном маршрутизаторе, а вот на стороне приема нужен анализатор.

зачем на маршрутизаторе что то делать ?, выноси Анализатор отдельно. я так понимаю у тебя маршрутизатор с bgp. его лучше не дёргать.

Еще раз :D : Есть маршрутизатор , он BGP не занимается, это для внутренней маршрутизации, на нем я хочу сделать Mirror порта аплинкового, по которому входит \ выходит трафик на определенный узловой участок, из этого порта я воткну пачкордик в 1 Gb/s сетевуху в любой сервер , на любой оси.... И вот там ... на этом сервере, мне надо анализировать этот поток входящего\исходящего трафика с целью выявления аномалий.

Куда мне надо выносить анализатор?

Понятно, тогда я всё уже сказал. =)

ng_ipacct этот, он анализом занимается или байты прибавляет?? , мне бы вот что понять :))

Может ли он на ходу определить SYN Flood и например просигнализировать по почте?

ng_ipacct собирает байты, но достоинством может быть направленный трафик - в nod, при помощи Ipfw - и считать syn fin udp tcp port - и слаживать в какойто файл и анализировать тем-же perl обычным

Это да, но это велосипед, я уверен есть готовые решения , пусть не супер-пупер, но писать не придется :)