Часто спрашивают, сколько трафика NetFlow следует ожидать увидеть в
сети. К сожалению, несколько затруднительно просто указать какое-то
число, поскольку чересчур много факторов влияют на него. Давайте
рассмотрим список наиболее важных факторов, безо всякой сортировки по их
значению.
1. Большое количество публичных IP-адресов.
Если
в вашей сети большое количество публично доступных IP-адресов
(например, класса B), вы будете жертвой массового сканирования намного
более часто, чем организация с одним адресом класса C. Автоматическое
сканирование "червями" и т.п. - это основная причина этого. Каждый
сканируемый IP будет создавать как минимум одно событие NetFlow. Если
ваш брандмауэр или маршрутизатор посылает "Network/Host Unreachable", вы
получите еще событие NetFlow для ICMP, возвращаемого в адреса
атакующего. Университеты, провайдеры и другие "открытые" сетевые среды
серьезно страдают от этого.
2. Отсутствует межсетевой экран на сеансово
...
Читать дальше »