检测DOS攻击脚本--脚本的风采

xqs428

一定程度上能检测到DOS攻击,根据CPU判断

没有判断包数,没有判断在哪个接口上出现的,只是在DOS攻击的时候取一个认证

当然也可以改善,在PPPOE上就能获取到某个用户,在多LAN上就能得到某个接口

就看你怎么改了,在我这这个就够用的了,大家可以根绝自己的流量,包数 更改此脚本

这个只是给大家一个参考吧



图没的贴,只贴代码和脚本

add name="monitor" on-event=monitor start-date=mar/20/2007 start-time=14:49:19 \
    interval=30s comment="" disabled=no
add name="RunScheduleMonitor" on-event=monitorSchedule start-date=mar/20/2007 \
    start-time=14:00:01 interval=1h comment="" disabled=no



monitor脚本

/system resource monitor once do={ {:if ($cpu-used>50 && $cpu-used<75) do=[system script run 2sSniffer]} {:if ($cpu-used>75) do=[system script run 1sSniffer]}}


monitorSchedule脚本

/system scheduler set monitor disabled=no


1sSniffer 脚本

:global a
:global b
:global c
:set a [/system resource get cpu-load]
:delay 1
:set b [/system resource get cpu-load]
:delay 1
:set c [/system resource get cpu-load]
:set c ($a+$b+$c)
:if ($c > 230 ) do={{:set a [system clock  get time];:set b [:pick "$a" 0 2];:set c [:pick "$a" 3 5];:set a ($b . $c . dos);:log warning "$a"}{:beep length=30s frequency=2755}{:foreach i in=[/interface find disabled=no] do={{:set b [/interface get $i name]}{:set c ($b . $a)}{/tool sniffer set file-name=$c filter-protocol=all-frames interface=$i}{/tool sniffer start}{:delay 1}{/tool sniffer stop}}}{/system scheduler set monitor disabled=yes}}



2sSniffer脚本


:global a
:global b
:global c
:set a [/system resource get cpu-load]
:delay 1
:set b [/system resource get cpu-load]
:delay 1
:set c [/system resource get cpu-load]
:set c ($a+$b+$c)
:if ($c > 150 ) do={{:set a [system clock  get time];:set b [:pick "$a" 0 2];:set c [:pick "$a" 3 5];:set a ($b . $c . dos);:log warning "$a"}{:beep length=30s frequency=2755}{:foreach i in=[/interface find disabled=no] do={{:set b [/interface get $i name]}{:set c ($b . $a)}{/tool sniffer set file-name=$c filter-protocol=all-frames interface=$i}{/tool sniffer start}{:delay 2}{/tool sniffer stop}}}{/system scheduler set monitor disabled=yes}}



希望大家作出更多更实用的脚本^_^
抓包文件用ethereal查看

[ 本帖最后由 cracks 于 2007-11-4 12:41 编辑 ]

naboo

给你顶一下

yftg

我支持你兄弟，呵呵~脚本还需要大家的智慧去完善！

zooyo

牛啊，顶你一下！

tpy372

再顶!

专卖精品

原帖由 zooyo 于 2007-3-22 12:45 发表
牛啊，顶你一下！

兄弟，偷偷告诉我，楼主这个脚本是否太牛了点？

wutb

呵呵 比较专业的程序员写出来的
顶一个

index

DDOS吧？
DOS攻击。还没听过呢？

网络-浪子

只能是晕一下了

admin862

看不懂啊

crack_ros

通过CPU 判断 DOS 未免太......

的确被攻击的时候CPU 会涨

不过还有1个时候 CPU 也会很高

调试ROS 的时候CPU 很高

负载满的时候CPU 和不低 特别做了限速

$cpu-used>50 && $cpu-used<75

50% 75% 的根据从哪里来?

而且你这个脚本也仅仅是 发现CPU 高做1个 监测而已

根本不解决问题

wutb

呵呵
参考了一下他这个脚本
楼主是个好人
做了个根据内网卡流量来判断内网DDOS或者其他攻击的脚本。
做到报警记录
用tools中的traffic monitor 可以轻松实现。

xqs428

此脚本只运行在ROS已经正常运行的情况下
CPU值是长期监控统计下来的
至于流量攻击,不会把ROS攻死,可以抓出来,另外这个在公司可能比较好,网吧没多少用

cracks