1.0.0のリリースから過去10か月間、プログラムを改善するための多くの作業がありました。
主な変更点のうち、次の点に注意してください。
- 最も一般的なタイプの攻撃を識別する機能:syn_flood、icmp_flood、udp_flood、ip_fragmentation_flood
- サポートされるNetflowプロトコルサポート、5、9、および10(IPFIX)バージョンの追加
- 最新のほとんどのネットワークスイッチでサポートされているsFLOW v5プロトコルのサポートを追加
- netmapの使用のサポートが追加されました(LinuxおよびFreeBSDがサポートされ、Linux用にixgbeドライバーの特別バージョンが提供されています: github.com/pavel-odintsov/ixgbe-linux-netmap )。 このモードは、PF_RING ZCとともに最高のトラフィックキャプチャパフォーマンスを提供します。
- PF_RING ZCのサポートを追加しました(残念ながら、このモードにはPF_RINGライブラリの個別のライセンスが必要です)
変更の完全なリストは以下にあります。
- 複数のデバイス(同じシャーシ内の仮想デバイスを含む)のテンプレートに基づいてnetflowを収集する機能を追加しました
- Netflowモジュールでの基本的なIPv6サポート、コレクターはIPv6インターフェイスをリッスンできます。プロトコル分析はまだサポートされていません
- 攻撃に関する情報には、使用されているプロトコル、パケットタイプ、TCPフラグなど、非常に多数のフィールドが含まれるようになりました。これにより、攻撃を可能な限り正確に識別することができます。
- 毎秒を計算する代わりに、最後のX秒間の攻撃速度の平均を使用して、誤検知を最小限に抑えます
- 攻撃の指紋を個別のファイルに保存する機能が追加されました
- ストリーム、パケット/秒、バイト/秒の数でトラフィックが攻撃と見なされる制限を指定する機能が追加されました。
- ExaBGPプロジェクトとの統合が追加されました。これにより、ブロックされたIPアドレスを自分のネットワーク上のBGPルーターに直接通知したり、直接アップリンクしたりできます。
- プラグインのサポートが追加され、既存のものに加えて独自のトラフィックキャプチャシステムを開発できるようになりました
- systemdベースのシステムの初期化ファイルを追加しました
- 指定期間後にIPのロックを解除する機能を追加しました
- Redisに攻撃データを保存する機能が追加されました
- ミラーポートからキャプチャモードでL2TPプロトコルを展開するためのサポートを追加
開発側から、次の変更が行われました。
- cmakeビルドシステムに移行
- Travis CI CIシステム統合の追加
- 移植性の理由から、C ++ 11関数を使用することは拒否されました。
サポートされているプラットフォームのリストは大幅に変更され、次のシステムのサポートが追加されました。
- Fedora 21
- Debian 6、7、8
- CentOS 6、7
- FreeBSD 9、10、11
- DragonflyBSD 4
- MacOS X 10.10
次のシステム用にバイナリパッケージがコンパイルされました。
他のLinuxシステムでは、
自動インストーラーを使用することをお勧めします。
新しいバージョンでは、非常に高いパフォーマンスを実現できます。 sFLOW / Netflowの処理速度はほぼ無制限です(毎秒数十および数百ギガビット)。 PF_RING(ZCではない)モードの場合、最大速度は約3mpps / 5GEの範囲で到達します。 最高速度は、トラフィックキャプチャシステムPF_RING ZCまたはnetmapを使用して実現できます。両方のライブラリを使用すると、ミラー化されたポート(10GE +)で1秒あたり最大1,000万パケットを処理できます。 非常に高速で、プロセッサリソースを非常に大量に読み込む接続追跡モードを無効にすることをお勧めします。 すべての測定値は、Intel i7 2600およびIntel 82599ネットワークカード用です。
開発コミュニティに関連するもののうち、プロジェクトに関連する問題を効果的に議論するために
Gitterプロジェクトを
含めることは注目に値します。それに加えて、古典的な
メーリングリストが追加されました。
それとは別に、プロジェクトの支援に多大な貢献をしてくれた
人々 、そして
何よりも
まずこのプロジェクトが不可能だった
FastVPS企業に感謝したいと思います!