![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
madf"Дякуючи" якимсь користувачам мережі я цього тижня побачив як веде себе Stargazer під навантаженням. А саме - при аналізі NetFlow-потоку шириною у 6-8 Мбіт.
Троє користувачів на двох різних серверах підхопили собі вірус, який починав генерити IP-датаграми з випадковим source address. Хоча такий трафік і не проходив за межі файрволу на роутерах, але він потрапляв на NetFlow-сенсор і потім у вигляді NetFlow-потоку до біллінгу. Оскільки source address кожного разу був новий кожний пакет породжував нову сесію і новий запис у дереві. Дерево розросталось неймовірно і його обхід з аналізом займав на 100% одне з ядер процесора. Здавалося б, усе в порядку, але на час обходу блокувався прийом нових пакетів.
По хорошому такий трафік взагалі не повинен був потрапляти до дерева, бо він не належить жодному користувачу (ні по source, ні по destination). У четвер переробив логіку, а у п’ятницю цілий день займався профілюванням. У понеділок поставлю нову версію - подивимось як воно буде.
Троє користувачів на двох різних серверах підхопили собі вірус, який починав генерити IP-датаграми з випадковим source address. Хоча такий трафік і не проходив за межі файрволу на роутерах, але він потрапляв на NetFlow-сенсор і потім у вигляді NetFlow-потоку до біллінгу. Оскільки source address кожного разу був новий кожний пакет породжував нову сесію і новий запис у дереві. Дерево розросталось неймовірно і його обхід з аналізом займав на 100% одне з ядер процесора. Здавалося б, усе в порядку, але на час обходу блокувався прийом нових пакетів.
По хорошому такий трафік взагалі не повинен був потрапляти до дерева, бо він не належить жодному користувачу (ні по source, ні по destination). У четвер переробив логіку, а у п’ятницю цілий день займався профілюванням. У понеділок поставлю нову версію - подивимось як воно буде.
