 | glinsteringGlflow is A (d) DOS-logger geschreven met snelheid in gedachten. |
| Download nu | |
glinstering Rangschikking & Samenvatting
Advertentie
- Vergunning:
- GPL
- Prijs:
- FREE
- Naam uitgever:
- Vlad GALU
- Uitgever website:
- http://night.rdslink.ro/dudu/misc/qmail/
glinstering Tags
glinstering Beschrijving
glFlow is een (D) DoS logger geschreven met snelheid in het achterhoofd. glFlow is een (D) DoS logger geschreven met snelheid in het achterhoofd. glFlow detecteert aanvallen op hoge snelheid banden door middel van real-time stroom aggregatie en analysis.What voer ik het op? Het is op FreeBSD geschreven en getest op zowel FreeBSD en Linux. Het zou moeten werken op elk besturingssysteem waarop libpcap en OpenSSL werden overgezet. De rest van de code volkomen portable.How werkt Cisco Systems naar het verloop als vier waarde tuplet gedefinieerd: {srcaddr, srcport, dstaddr, dstport}. Het formaat loop der tijd. De volledige structuren van verschillende NetFlow versies zijn beschikbaar op de site van Cisco. Nu, laten we aannemen dat de aanvaller overstromingen het slachtoffer met pakketten die dezelfde kenmerken tijdens de gehele duur van de aanval te houden. Geen bron spoof, nosource poort stappen of randomiseringen. Dit zou leiden tot een zeer grote packet rate in die stroom. glFlow berekent de gemiddelde pakketsnelheid in elke stroomsnelheid en werpt een alarmsignaal als de drempel hit.What over vervalste aanvallen? Hoe worden ze ontdekt? Gemakkelijk. glFlow houdt een geschiedenis voor elke bestemming een host die het ziet. Wanneer er een nieuwe stroom wordt gemaakt, wordt de stroom teller voor die host verhoogd. Het gemiddelde aantal nieuw gevormde stromen overeenstemt met een bepaalde gastheer in een bepaalde tijdsduur wordt berekend, en, zoals hiervoor, wordt een alarm opgewekt als de drempel hit.To aanvallen voorkomen die niet raken van de bovenstaande drempels is er een nieuwe te beginnen met v0.1, het meten van het pakket tarief voor een destination.Can't andere instrumenten, zoals Snort, mag dit? We sincereley geloven niet. Vergeet niet, glFlow werd met highspeeds in het achterhoofd geschreven. We gebruiken het op meer dan 500Mbps. Bij die snelheid, met anordinary x86 machine, zelfs met een sterke moederbord / NIC combinatie can'tdo u iets speciaals. glFlow is speciaal ontworpen voor het opsporen van grote floodsin real-time, of op zijn minst iets dicht bij dat. Hoe komt het dat het zo snel? Nou, Andrei heeft een geweldige job het implementeren van een zeer snelle binaire boom. Dat liet ons toe om de schroefdraad model te laten vallen en kiezen voor een enkele lus ontwerp. De nieuwe resultaten waren verbluffend. De tests werden uitgevoerd op een P4 Xeon / 3 GHz, met een Intel GigE NIC. De gemiddelde verkeer was ongeveer 500 Mbps, met een gemiddelde packet rate van 100kpps. Die leiden tot ongeveer 200k actieve stromen. glFlow in geslaagd om de inactieve schoon te maken in minder dan 0,3 seconden. Er was geen alarm geslagen na meer dan 5 seconden van de overstromingen. glFlow aten ~ 50% van de CPU, terwijl het verbruiken ongeveer 40MB systeem memory.How moet ik installeren en draaien? Run ./configure --help. Je ziet twee instelbare knoppen: --with-hash en --enable-debug. De eerste laat u toe om te schakelen tussen MD4 en MD5 het optellen van de stroming en gastorganisaties in het geheugen bewaard. De tweede laat je lopen glflow op de voorgrond, het afdrukken van een aantal statistieken over stdout.The drempels zijn harcoded in defs.h. Je moet geen problemen met het tweaken hen. We hebben echter geconstateerd dat de beste resultaten worden verkregen bij gebruik van dezelfde waarden voor stroming leven en de tijd tussen stroom opruimingen. En ze moeten niet veel meer dan 20. Hoe kleiner de boom is, hoe sneller het zal cleaned.Finally, te bewerken uw /etc/syslog.conf en schrijven iets als dit:. "Local6 *
glinstering Gerelateerde software
