En

异常流量检测工具

作者:XX公布时间:2013-12-30最后更新:2013-12-30

MD5:331085185df07d12f4d3a34dad2ebbd8

89871 33583

下载该工具
分享

工具简介:

一个可以从网卡直接收包,或者读取抓包文件,快速发现DDOS攻击,并且提取包量最大的10个源IP的小工具。

 

运行环境:

Linux

 

使用说明:

./flow_detect –c 配置文件 -i 网卡名(-f 抓包文件名) -n 抓包统计量

 

参数说明:

-c    指定配置文件,为必选项

-i     指定要实时抓包的网卡名

-f    指定要分析的抓包文件名(tcpdump或者wireshark的抓包文件)

-n   指定抓包数量,必须在1000-200000之间,可不设置,不设置的情况下,如果是网卡实时抓包,则默认为200000个包,如果是抓包文件,则默认处理文件中所有包。

 

-c必选,-i和-f二选一,-n可选

 

配置文件说明:

<alarm_rule>
        <synflood>
                <pps>10000</pps>
                <bps>10000000</bps>
        </synflood>
        <udpflood>
                <pps>80000</pps>
                <bps>100000000</bps>
        </udpflood>
        <icmpflood>
                <pps>10000</pps>
                <bps>10000000</bps>
        </icmpflood>
        <ackflood>
                <pps>200000</pps>
                <bps>400000000</bps>
        </ackflood>
        <rstflood>
                <pps>10000</pps>
                <bps>10000000</bps>
        </rstflood>
        <dnsflood>
                <pps>80000</pps>
                <bps>100000000</bps>
        </dnsflood>
        <noipflood>
                <pps>10000</pps>
                <bps>10000000</bps>
        </noipflood>
</alarm_rule>

              目前只支持synflood, udpflood, icmpflood, ackflood, rstflood, dnsflood和noipflood的检测,检测阈值分为pps和bps两种,命中一个即认为是有攻击发生,阈值可按实际环境进行调整。

 

显示说明:

alarm detect rules are configured as follows:
Synflood:
        pps:10000
        bps:10000000
Udpflood:
        pps:80000
        bps:100000000
Icmpflood:
        pps:10000
        bps:10000000
Ackflood:
        pps:200000
        bps:400000000
Rstflood:
        pps:10000
        bps:10000000
Dnsflood:
        pps:80000
        bps:100000000
Noipflood:
        pps:10000
        bps:10000000

start processing ....
Total 3333 processed
183.60.244.45:  73738pps        49552566bps
Synflood detected!
Synflood detected!
Top Attack Source Addresses:
123.151.39.137: 73738pps        49552566bps     100%

首先回显配置的检测阈值,然后输出目的IP的包量和流量信息,接着是发现的攻击类型,以及攻击源IP的信息。没有发现攻击的情况下显示如下:

start processing ....
172.27.208.151: 2pps    2178bps
No DOS attack found!

效果图