https://opennet.ru/openforum/vsluhforumID1/90304.html По совету некого специалиста из темы, которую сейчас не найду, поставил pmacct(nfacctd)+bwstat чтобы мониторить трафик через netflow.<br><br>Конфиг содержит такие строки:<br><br>aggregate[in]: dst_host<br>aggregate[out]: src_host<br>aggregate_filter[in]: dst net 192.168.88.0/16<br>aggregate_filter[out]: src net 192.168.88.0/16<br>plugins: mysql[in], mysql[out]<br><br><br>Казалось бы, все правильно.<br><br>Тем не менее, в базе есть такие строки:<br><br>&#124; 0:0:0:0:0:0 &#124; 0:0:0:0:0:0 &#124; 0.0.0.0 &#124; 109.107.91.158 &#124;<br> 0 &#124; 0 &#124; ip &#124; 1 &#124; 309 &#124; 2010-11-10 16:50:00 &#124;<br>2010-11-10 16:59:02 &#124;<br>&#124; 0:0:0:0:0:0 &#124; 0:0:0:0:0:0 &#124; 0.0.0.0 &#124; 71.228.40.130 &#124;<br> 0 &#124; 0 &#124; ip &#124; 1 &#124; 305 &#124; 2010-11-10 16:50:00 &#124;<br>2010-11-10 16:59:02 &#124;<br>&#124; 0:0:0:0:0:0 &#124; 0:0:0:0:0:0 &#124; 0.0.0.0 &#124; 94.24.134.127 &#124;<br> 0 &#124; 0 &#124; ip &#124; 1 &#124; 305 & https://opennet.ru/openforum/vsluhforumID1/90304.html#2 Mon, 15 Nov 2010 17:57:14 GMT &gt;[оверквотинг удален]<br>&gt; 0 &#124; 0 &#124;<br>&gt; ip &#124; <br>&gt; 1 &#124; 305 &#124;<br>&gt; 2010-11-10 16:50:00 &#124;<br>&gt; 2010-11-10 16:59:02 &#124;<br>&gt; И база растет на 11 мегабайт в день, что чудовищно много.<br>&gt; Вопрос 1) Откуда в базе строки, ни начало, ни конец которых не<br>&gt; выглядят как 192.168.88.x ?<br>&gt; Вопрос 2) Откуда берется такая куча непонятных пакетов размером 305 байт и<br>&gt; адресом 0.0.0.0? Роутер - Mikrotik routerboard.<br><br> Походу такую связку рекламирую я :-). Отлично себя зарекомендовала.<br><br> Если не помогло, что посоветовал предыдущий товарищ, тогда попробуйте исключить из агрегации 0.0.0.0<br><br>Что то типа этого:<br><br>aggregate_filter[out]: src net 192.168.88.0/16 and not src host 0.0.0.0<br><br>Кстати, если у вас подсчет на роутере, то не забудьте исключить внутренний интерфейс роутера в случае, если он обслуживает какие-то сервисы для лок.сети (днс, внутр. вэб и т.д.)<br> https://opennet.ru/openforum/vsluhforumID1/90304.html#1 Mon, 15 Nov 2010 16:15:04 GMT &gt;[оверквотинг удален]<br>&gt; 0 &#124; 0 &#124;<br>&gt; ip &#124; <br>&gt; 1 &#124; 305 &#124;<br>&gt; 2010-11-10 16:50:00 &#124;<br>&gt; 2010-11-10 16:59:02 &#124;<br>&gt; И база растет на 11 мегабайт в день, что чудовищно много.<br>&gt; Вопрос 1) Откуда в базе строки, ни начало, ни конец которых не<br>&gt; выглядят как 192.168.88.x ?<br>&gt; Вопрос 2) Откуда берется такая куча непонятных пакетов размером 305 байт и<br>&gt; адресом 0.0.0.0? Роутер - Mikrotik routerboard.<br><br>2. Cisco-like рассылка discovery-пакетов. Выключить - ip neighbors discovery<br>