交流 › RouterOS › 检测DOS攻击脚本--脚本的风采

xqs428 发表于 2007-3-22 10:37:34

检测DOS攻击脚本--脚本的风采

一定程度上能检测到DOS攻击,根据CPU判断

没有判断包数,没有判断在哪个接口上出现的,只是在DOS攻击的时候取一个认证

当然也可以改善,在PPPOE上就能获取到某个用户,在多LAN上就能得到某个接口

就看你怎么改了,在我这这个就够用的了,大家可以根绝自己的流量,包数 更改此脚本

这个只是给大家一个参考吧



图没的贴,只贴代码和脚本

add name="monitor" on-event=monitor start-date=mar/20/2007 start-time=14:49:19 \
    interval=30s comment="" disabled=no
add name="RunScheduleMonitor" on-event=monitorSchedule start-date=mar/20/2007 \
    start-time=14:00:01 interval=1h comment="" disabled=no



monitor脚本

/system resource monitor once do={ {:if ($cpu-used>50 && $cpu-used<75) do=} {:if ($cpu-used>75) do=}}


monitorSchedule脚本

/system scheduler set monitor disabled=no


1sSniffer 脚本

:global a
:global b
:global c
:set a
:delay 1
:set b
:delay 1
:set c
:set c ($a+$b+$c)
:if ($c > 230 ) do={{:set a ;:set b [:pick "$a" 0 2];:set c [:pick "$a" 3 5];:set a ($b . $c . dos);:log warning "$a"}{:beep length=30s frequency=2755}{:foreach i in= do={{:set b }{:set c ($b . $a)}{/tool sniffer set file-name=$c filter-protocol=all-frames interface=$i}{/tool sniffer start}{:delay 1}{/tool sniffer stop}}}{/system scheduler set monitor disabled=yes}}



2sSniffer脚本


:global a
:global b
:global c
:set a
:delay 1
:set b
:delay 1
:set c
:set c ($a+$b+$c)
:if ($c > 150 ) do={{:set a ;:set b [:pick "$a" 0 2];:set c [:pick "$a" 3 5];:set a ($b . $c . dos);:log warning "$a"}{:beep length=30s frequency=2755}{:foreach i in= do={{:set b }{:set c ($b . $a)}{/tool sniffer set file-name=$c filter-protocol=all-frames interface=$i}{/tool sniffer start}{:delay 2}{/tool sniffer stop}}}{/system scheduler set monitor disabled=yes}}



希望大家作出更多更实用的脚本^_^
抓包文件用ethereal查看

[ 本帖最后由 cracks 于 2007-11-4 12:41 编辑 ]

naboo 发表于 2007-3-22 11:10:25

给你顶一下

yftg 发表于 2007-3-22 12:14:06

我支持你兄弟，呵呵~脚本还需要大家的智慧去完善！

zooyo 发表于 2007-3-22 12:45:54

牛啊，顶你一下！

tpy372 发表于 2007-3-22 16:37:37

再顶!

专卖精品 发表于 2007-3-22 19:39:53

原帖由 zooyo 于 2007-3-22 12:45 发表
牛啊，顶你一下！

兄弟，偷偷告诉我，楼主这个脚本是否太牛了点？

wutb 发表于 2007-4-21 14:17:56

呵呵 比较专业的程序员写出来的
顶一个

index 发表于 2007-4-21 18:47:00

DDOS吧？
DOS攻击。还没听过呢？

网络-浪子 发表于 2007-4-22 09:46:10

只能是晕一下了

admin862 发表于 2007-4-22 10:32:47

晕什么啊

看不懂啊

crack_ros 发表于 2007-4-22 11:22:16

通过CPU 判断 DOS 未免太......

的确被攻击的时候CPU 会涨

不过还有1个时候 CPU 也会很高

调试ROS 的时候CPU 很高

负载满的时候CPU 和不低 特别做了限速

$cpu-used>50 && $cpu-used<75

50% 75% 的根据从哪里来?

而且你这个脚本也仅仅是 发现CPU 高做1个 监测而已

根本不解决问题

wutb 发表于 2007-4-22 16:07:48

呵呵
参考了一下他这个脚本
楼主是个好人 :victory:
做了个根据内网卡流量来判断内网DDOS或者其他攻击的脚本。
做到报警记录
用tools中的traffic monitor 可以轻松实现。

xqs428 发表于 2007-4-24 14:30:33

此脚本只运行在ROS已经正常运行的情况下
CPU值是长期监控统计下来的
至于流量攻击,不会把ROS攻死,可以抓出来,另外这个在公司可能比较好,网吧没多少用

cracks 发表于 2007-11-4 12:40:55

:) :)

查看完整版本: 检测DOS攻击脚本--脚本的风采