[Comm] выявление ФЛУДА

[Alexey S. Kuznetsov]

Привет всем!
 У меня сложилась такая ситуация. Есть локалка в которой есть
 пользователи. Все они идут в инет через шлюз, на котором и нужно
 делать то, о чём я ща расскажу.
 Бывает такое, что какой-то из клиентов подхватывает трояна, который
 начинает генерить в основном UDP трафик на левые, совершенно
 случайные ИП адреса и этим забивать канал.
 Собственно мне нужно распознавать такие вещи. Т.е., к примеру, раз в
 10 минут запускать скрипт, который будет анализировать есть ли флуд в
 сети или нет. Конечно мне лезут в голову мысли по анализу логов
 tcpdump-а, но может есть какой-то более рациональный способ
 определения для КАЖДОГО ИП адреса количество проходящих пакетов/сек
 на текущий момент? может какой-нить SNMP?

 Кто что посоветует?
  

-- 
Sincerely,
Alexey S. Kuznetsov
AK2351-RIPE