glflow.glflow é um (D) DOS Logger escrito com velocidade em mente. | |
Baixe Agora |
glflow. Classificação e resumo
Propaganda
- Licença:
- GPL
- Preço:
- FREE
- Nome do editor:
- Vlad GALU
- Site do editor:
- http://night.rdslink.ro/dudu/misc/qmail/
glflow. Tag
glflow. Descrição
glFlow é um registador (D) DoS escrito com velocidade em mente. glFlow é um registador (D) DoS escrito com velocidade em mente. glFlow detecta ataques contra links de alta velocidade através de agregação de fluxo em tempo real e analysis.What eu executá-lo em? Foi escrito em FreeBSD e testado em ambos FreeBSD e Linux. Ele deve funcionar em qualquer sistema operacional para o qual foram portados libpcap e OpenSSL. O resto do código é perfeitamente portable.How ele funciona Cisco Systems ter definido o 'fluxo' como um quatro valor tuplet: {srcaddr, srcport, dstaddr, dstport}. O formato evoluiu ao longo do tempo. As estruturas completas para várias versões NetFlow estão disponíveis no site da Cisco. Agora, vamos supor que o atacante inunda a vítima com pacotes que mantêm as mesmas características durante toda a duração do ataque. Sem spoof fonte, incrementos de porta nosource ou aleatorizações. Isso levaria a uma grande taxa de pacotes dentro desse fluxo. glFlow calcula a taxa média de pacotes em cada fluxo e levanta um sinal de alarme se o limiar é hit.What sobre ataques falsos? Como eles são detectados? Simples. glFlow mantém um histórico para cada host de destino que vê. Quando um novo fluxo é criado, o contador de fluxo para que o anfitrião é incrementado. O número médio de fluxos de recém-criados correspondentes a um host específico em um determinado período de tempo é calculado, e, como acima, um alarme é gerado se o limiar é hit.To evitar ataques que não atingem qualquer dos limiares acima, há um novo começando com v0.1, medindo a taxa de pacotes por destination.Can't outras ferramentas, como SNORT, fazer isso? Nós sincereley não acredito. Lembre-se, glFlow foi escrito com highspeeds em mente. Temos vindo a usá-lo em mais de 500Mbps. Nessa velocidade, com anordinary máquina x86, mesmo com uma forte combinação motherboard / NIC, você can'tdo nada extravagante. glFlow foi projetado especificamente para detectar grande floodsin tempo real, ou pelo menos algo próximo a isso. Como é que é tão rápido? Bem, Andrei fez um ótimo trabalho implementar uma árvore muito rápido binário. Isso permitiu-nos deixar cair o modelo de rosca e escolher um único projeto loop. Os novos resultados foram impressionantes. Os testes foram feitos em um GHz P4 Xeon / 3, com um processador Intel GigE NIC. A taxa média de tráfego foi de cerca de 500Mbps, com uma taxa média de pacotes de 100kpps. Que levam a cerca de 200k fluxos de ativos. glFlow conseguiu limpar os inativos em menos de 0,3 segundos. Não houve alarme lançado depois de mais de 5 segundos de inundações. glFlow comeu ~ 50% da CPU, consumindo cerca de 40MB de sistema memory.How faço para instalar e executá-lo? Run ./configure --help. Você verá dois botões ajustáveis: --with-de hash e --enable-debug. O primeiro permite-lhe alternar entre MD4 e MD5 soma das estruturas de fluxo e de acolhimento guardados na memória. O segundo permite que você execute glflow em primeiro plano, imprimindo algumas estatísticas sobre os limiares stdout.The são harcoded em defs.h. Você não deve ter nenhum problema aprimorando-los. No entanto, temos observado que os melhores resultados são obtidos quando se usa os mesmos valores para vida fluxo e o tempo entre limpezas de fluxo. E eles não devem ser muito mais de 20. Quanto menor a árvore é, mais rápido ele será cleaned.Finally, editar o seu /etc/syslog.conf e escrever algo como isto: ". Local6 *
glflow. Software Relacionado