YAF - это программное обеспечение Yet Another Flowmeter, которое продвигает использование SiLK для обнаружения некоторых типов атак. YAF может использоваться как зонд NetFlow для улучшения мониторинга сетевого трафика, правда метрики собираемые им не настолько сложные и информативные, как у nBox.
Конфигурация YAF примерно делается так.

sudo yaf –in eth0 –live pcap –out 10.1.4.66 –ipfix udp –ipfix-port=2002 –stats=300 –mac –idle-timeout=60 –active-timeout=60 –udp-temp-timeout=300 –force-read-all –silk –observation-domain=42 –flow-stats –delta –ingress=1 –egress=1 –max-payload=128 –export-payload –udp-payload –entropy –applabel –p0fprint –fpexport

Некоторые опции, указанные выше, не обязательны, некоторые - наоборот. Например, использовать "-silk" очень важно, поскольку это влияет на экспорт. Описания каждой опции доступны на сайте YAF. Интересно, что, также как и ряд устройств безоп ... Читать дальше »