Часто спрашивают, сколько трафика NetFlow следует ожидать увидеть в сети. К сожалению, несколько затруднительно просто указать какое-то число, поскольку чересчур много факторов влияют на него. Давайте рассмотрим список наиболее важных факторов, безо всякой сортировки по их значению.
1. Большое количество публичных IP-адресов.
Если в вашей сети большое количество публично доступных IP-адресов (например, класса B), вы будете жертвой массового сканирования намного более часто, чем организация с одним адресом класса C. Автоматическое сканирование "червями" и т.п. - это основная причина этого. Каждый сканируемый IP будет создавать как минимум одно событие NetFlow. Если ваш брандмауэр или маршрутизатор посылает "Network/Host Unreachable", вы получите еще событие NetFlow для ICMP, возвращаемого в адреса атакующего. Университеты, провайдеры и другие "открытые" сетевые среды серьезно страдают от этого.
2. Отсутствует межсетевой экран на сеансовом уровне.
Считается № 1, если вы имеете большое количество IP-адресов и не используете межсетевой экран или встроенный IPS для фильтрации трафика. Вы можете ожидать большое количество NetFlow.

Подробнее...

Дополнительные ссылки: NetFlow, StealthWatch, Network Performance Monitoring, Network Visibility, Network Security