<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:"Times New Roman \(Body CS\)";

        panose-1:2 11 6 4 2 2 2 2 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        font-size:12.0pt;

        font-family:"Calibri",sans-serif;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

span.EmailStyle21

        {mso-style-type:personal-reply;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style>

</head>

<body lang="EN-US" link="blue" vlink="purple" style="word-wrap:break-word">

<div class="WordSection1">

<p class="MsoNormal">The ELK stack does a good job of collecting netflow records with the addition of Filebeat.  Check out my tattle-tale tool that collects netflow data:

<a href="https://github.com/racompton/tattle-tale">https://github.com/racompton/tattle-tale</a> It has numerous rules in logstash/conf.d to try to just look for spoofed DDoS amplification requests but if you remove those rules (except for

<a href="https://github.com/racompton/tattle-tale/blob/main/logstash/conf.d/40-ifName.conf" title="40-ifName.conf">

<span style="color:windowtext;text-decoration:none">40-ifName.conf</span></a><o:p></o:p></p>

<p class="MsoNormal">and <a href="https://github.com/racompton/tattle-tale/blob/main/logstash/conf.d/50-reverse-dns.conf" title="50-reverse-dns.conf">

<span style="color:windowtext;text-decoration:none">50-reverse-dns.conf</span></a>) it should be a pretty nice netflow collection solution.  If you are looking for a free solution to identify DDoS attacks from netflow and generate Flowspec rules, check out

<a href="https://github.com/pavel-odintsov/fastnetmon">https://github.com/pavel-odintsov/fastnetmon</a><o:p></o:p></p>

<p class="MsoNormal">Also, here’s a doc for best practices when implementing Flowspec:

<a href="https://www.m3aawg.org/flowspec-BP" title="https://www.m3aawg.org/flowspec-BP">

https://www.m3aawg.org/<span style="color:#070706;background:#FFEE94">flowspec</span>-BP</a><o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">-Rich<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="color:black">From: </span></b><span style="color:black">NANOG <nanog-bounces+rich.compton=charter.com@nanog.org> on behalf of Joe Loiacono <jloiacon@gmail.com><br>

<b>Date: </b>Monday, May 16, 2022 at 1:11 PM<br>

<b>To: </b>NANOG list <nanog@nanog.org>, Matthew Crocker <matthew@corp.crocker.com><br>

<b>Subject: </b>[EXTERNAL] Re: Free-ish Linux Netflow collector/analyser options<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>

</div>

<div style="border:solid #5A5A5A 1.0pt;padding:2.0pt 2.0pt 2.0pt 2.0pt">

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;line-height:12.0pt;background:#235C70">

<strong><span style="font-size:10.0pt;font-family:"Calibri",sans-serif;color:white">CAUTION:</span></strong><span style="font-size:10.0pt;color:white"> The e-mail below is from an external source. Please exercise caution before opening attachments, clicking

 links, or following guidance. </span><o:p></o:p></p>

</div>

<p>Try FlowViewer (analyzing, graphing, tending software) + SiLK (robust, high-performance capture software from Carnegie-Mellon).

<o:p></o:p></p>

<p>Pretty full netflow analysis package; free.<o:p></o:p></p>

<p>See: <a href="http://flowviewer.net">http://flowviewer.net</a><o:p></o:p></p>

<p>Joe<o:p></o:p></p>

<div>

<p class="MsoNormal">On 5/16/2022 2:34 PM, Matthew Crocker wrote:<o:p></o:p></p>

</div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"><span style="font-size:11.0pt"> </span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt">I’m looking for a free-ish Linux open sources Netflow collector/analyser.  I have 5 Juniper MX routers that will send IPFIX flows to for an ISP network.    I’m hoping it is something I can run in AWS/EC2 as

 I don’t want to worry about storage again in my lifetime.  Does anyone have any recommendations?</span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt"> </span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt">For reporting I would like to generate basic  usage reports to/from IP/Subnet/ASN.  It would be great if it could also detect DDoS and activate flowspec back into my core routers but that isn’t a requirement</span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt"> </span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt">Thanks</span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt"> </span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt">-Matt</span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt"> </span><o:p></o:p></p>

</blockquote>

</div>

</body>

</html>