Часто спрашивают, сколько трафика NetFlow следует ожидать увидеть в сети. К сожалению, несколько затруднительно просто указать какое-то число, поскольку чересчур много факторов влияют на него. Давайте рассмотрим список наиболее важных факторов, безо всякой сортировки по их значению.
1. Большое количество публичных IP-адресов.
Если в вашей сети большое количество публично доступных IP-адресов (например, класса B), вы будете жертвой массового сканирования намного более часто, чем организация с одним адресом класса C. Автоматическое сканирование "червями" и т.п. - это основная причина этого. Каждый сканируемый IP будет создавать как минимум одно событие NetFlow. Если ваш брандмауэр или маршрутизатор посылает "Network/Host Unreachable", вы получите еще событие NetFlow для ICMP, возвращаемого в адреса атакующего. Университеты, провайдеры и другие "открытые" сетевые среды серьезно страдают от этого.
2. Отсутствует межсетевой экран на сеансово ... Читать дальше »