找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 5898|回复: 13

[脚本] 检测DOS攻击脚本--脚本的风采

[复制链接]
发表于 2007-3-22 10:37:34 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
一定程度上能检测到DOS攻击,根据CPU判断

没有判断包数,没有判断在哪个接口上出现的,只是在DOS攻击的时候取一个认证

当然也可以改善,在PPPOE上就能获取到某个用户,在多LAN上就能得到某个接口

就看你怎么改了,在我这这个就够用的了,大家可以根绝自己的流量,包数 更改此脚本

这个只是给大家一个参考吧



图没的贴,只贴代码和脚本

add name="monitor" on-event=monitor start-date=mar/20/2007 start-time=14:49:19 \
    interval=30s comment="" disabled=no
add name="RunScheduleMonitor" on-event=monitorSchedule start-date=mar/20/2007 \
    start-time=14:00:01 interval=1h comment="" disabled=no



monitor脚本

/system resource monitor once do={ {:if ($cpu-used>50 && $cpu-used<75) do=[system script run 2sSniffer]} {:if ($cpu-used>75) do=[system script run 1sSniffer]}}


monitorSchedule脚本

/system scheduler set monitor disabled=no


1sSniffer 脚本

:global a
:global b
:global c
:set a [/system resource get cpu-load]
:delay 1
:set b [/system resource get cpu-load]
:delay 1
:set c [/system resource get cpu-load]
:set c ($a+$b+$c)
:if ($c > 230 ) do={{:set a [system clock  get time];:set b [:pick "$a" 0 2];:set c [:pick "$a" 3 5];:set a ($b . $c . dos);:log warning "$a"}{:beep length=30s frequency=2755}{:foreach i in=[/interface find disabled=no] do={{:set b [/interface get $i name]}{:set c ($b . $a)}{/tool sniffer set file-name=$c filter-protocol=all-frames interface=$i}{/tool sniffer start}{:delay 1}{/tool sniffer stop}}}{/system scheduler set monitor disabled=yes}}



2sSniffer脚本


:global a
:global b
:global c
:set a [/system resource get cpu-load]
:delay 1
:set b [/system resource get cpu-load]
:delay 1
:set c [/system resource get cpu-load]
:set c ($a+$b+$c)
:if ($c > 150 ) do={{:set a [system clock  get time];:set b [:pick "$a" 0 2];:set c [:pick "$a" 3 5];:set a ($b . $c . dos);:log warning "$a"}{:beep length=30s frequency=2755}{:foreach i in=[/interface find disabled=no] do={{:set b [/interface get $i name]}{:set c ($b . $a)}{/tool sniffer set file-name=$c filter-protocol=all-frames interface=$i}{/tool sniffer start}{:delay 2}{/tool sniffer stop}}}{/system scheduler set monitor disabled=yes}}



希望大家作出更多更实用的脚本^_^
抓包文件用ethereal查看

[ 本帖最后由 cracks 于 2007-11-4 12:41 编辑 ]
routeros
发表于 2007-3-22 11:10:25 | 显示全部楼层
给你顶一下
routeros
回复

使用道具 举报

发表于 2007-3-22 12:14:06 | 显示全部楼层
我支持你兄弟,呵呵~脚本还需要大家的智慧去完善!
routeros
回复

使用道具 举报

发表于 2007-3-22 12:45:54 | 显示全部楼层
牛啊,顶你一下!
routeros
回复

使用道具 举报

发表于 2007-3-22 16:37:37 | 显示全部楼层
再顶!
routeros
回复

使用道具 举报

发表于 2007-3-22 19:39:53 | 显示全部楼层
原帖由 zooyo 于 2007-3-22 12:45 发表
牛啊,顶你一下!


兄弟,偷偷告诉我,楼主这个脚本是否太牛了点?
routeros
回复

使用道具 举报

发表于 2007-4-21 14:17:56 | 显示全部楼层
呵呵 比较专业的程序员写出来的
顶一个
routeros
回复

使用道具 举报

发表于 2007-4-21 18:47:00 | 显示全部楼层
DDOS吧?
DOS攻击。还没听过呢?
routeros
回复

使用道具 举报

发表于 2007-4-22 09:46:10 | 显示全部楼层
只能是晕一下了
routeros
回复

使用道具 举报

发表于 2007-4-22 10:32:47 | 显示全部楼层

晕什么啊

看不懂啊
routeros
回复

使用道具 举报

发表于 2007-4-22 11:22:16 | 显示全部楼层
通过CPU 判断 DOS 未免太......

的确被攻击的时候CPU 会涨

不过还有1个时候 CPU 也会很高

调试ROS 的时候CPU 很高

负载满的时候CPU 和不低 特别做了限速

$cpu-used>50 && $cpu-used<75

50% 75% 的根据从哪里来?

而且你这个脚本也仅仅是 发现CPU 高做1个 监测而已

根本不解决问题
routeros
回复

使用道具 举报

发表于 2007-4-22 16:07:48 | 显示全部楼层
呵呵
参考了一下他这个脚本
楼主是个好人
做了个根据内网卡流量来判断内网DDOS或者其他攻击的脚本。
做到报警记录
用tools中的traffic monitor 可以轻松实现。
routeros
回复

使用道具 举报

 楼主| 发表于 2007-4-24 14:30:33 | 显示全部楼层
此脚本只运行在ROS已经正常运行的情况下
CPU值是长期监控统计下来的
至于流量攻击,不会把ROS攻死,可以抓出来,另外这个在公司可能比较好,网吧没多少用
routeros
回复

使用道具 举报

发表于 2007-11-4 12:40:55 | 显示全部楼层
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-6 00:27 , Processed in 0.231949 second(s), 6 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表