softflowd vs fprobe: выбираю сенсор

ng_netflow заруливает обоих

Мне для линукса. Из этих двух. И кстати, что за киллер-фичи такие у ng_netflow?

крутится в kernel mode, у линупса же что-то такое тоже есть? fprobe-ulog вроде зовется.

крутится в kernel mode, у линупса же что-то такое тоже есть?

ipt-netflow

ipt-netflow +1 Но это для учета а не подсчета или IDS, ибо снимает снимает статистику с iptables

Если нужно прям все то это на pcap нужно чтото вроде http://www.mindrot.org/projects/flowd/

> ipt-netflow +1 Но это для учета а не подсчета или IDS, ибо снимает снимает статистику с iptables

Если нужно прям все то это на pcap нужно чтото вроде http://www.mindrot.org/projects/flowd/

ipt-netflow на пару-тройку _порядков_ менее прожорлив решений серез libpcap.
Это раз. А два - это почему решения для iptables не годятся в качестве ids ?

Последний мой опыт с softflowd показал, что он не делит входящий и выходящий трафик - так что в первом приближении я бы не рекомендовал. Правда, это было на FreeBSD и, дополнительно, я могу не уметь его готовить (хотя в настройках вроде нет ничего такого на тему направления трафика).

ipt_netflow естественно быстрее чем libpcap в юзерспейсе, но ведь не весь трафик попадет в iptables, для бескомпромиссной IDS это не приемлемо.

Поэтому если нужно анализировать только проходящий трафик ipt_netflow пока лучшее что есть, в противном случе надо смотреть на pcap и стоит попробовать вышеупомянутый flowd

> ipt_netflow естественно быстрее чем libpcap в юзерспейсе, но ведь не весь трафик попадет в iptables,

IP - весь.

А, с IPv6 проблема есть - для v6 модуля нет пока.