问sflow可以用于监视ddos吗？

EN

在我的经验中，sFlow实际上非常适合快速DDoS检测，至少对于诸如反射攻击或数据包泛滥之类的容量性DDoS攻击而言。其原因在于sFlow和NetFlow之间的差异。

NetFlow在路由器中保持状态，如果流在一段时间内处于不活动状态(通常为15秒左右)，或者持续很长时间(通常为60秒)，则将该流的摘要状态发送给收集器。这意味着一个准确的交通记录，但可能不会到达您的探测器，直到攻击已经开始一分钟！

与NetFlow不同，sFlow策略是在N(通常为1/512或1/1024左右)中每1次发送一次数据包样本。这意味着您的检测软件几乎可以立即“看到”攻击！

所以坚持sFlow的出口，不需要添加硬件。下面是关于NetFlow和sFlow：http://www.flowtraq.com/corporate/resources/whitepapers/the-netflowsflowcflowjflow-flow-dilemma/之间区别的一些附加细节

不需要更换网络硬件，sFlow可以很好的实现DDoS检测。下面是DDoS在GitHub上的几个缓解工具：

• FastNetMon
• 黑洞DDoS

实际上，您肯定可以使用sFLOW来检测DDoS。作为FastNetMon的作者，我可以推荐使用sflow而不是netflow。但是请记住，您应该为它选择正确的sflow sampling_rate。

请根据您的流量来选择正确的抽样率，请查看这个很棒的参考：http://blog.sflow.com/2009/06/sampling-rates.html