در این مطلب یک ابزار مانیتورینگ حملات DDOS معرفی میشود.
نویسنده این پلاگین: Pavel Odintsov تحت لایسنس: GPLv2
یک پلاگین تحلیلگر حملات DDOS و netflowk که با استفاده از بهترین موتورهای تحلیل بسته های شبکه ساخته شده است.
در واقع هاست شما در سرور قدرتمند گروه برنامه نویس ثبت میشود و تمامی اتصالات ورودی و خروجی هاست شما بصورت بایت بر ثانیه یا جریان بر ثانیه یا بسته بر ثانیه در سرور آنها کنترل میشود.
در صورت بوجود امدن مشکل،از طریق سرور اصلی به اسکریپت خارجی(یعنی همینی که در سرور خود نصب کردید) پیام داده میشود.و پلاگین مثلا به شما اطلاع میدهد،یا اینکه سرور را خاموش کند یا اینکه فرد DDOS کننده را بلاک کند.
نویسنده دلیل نوشتن برنامه را اینطور عنوان کرده که نتونسته نرم افزاری تو کل جهان پیدا کنه که چنین کاری انجام بده.حتی توی دنیای open source هم پیدا نکرده.
بعضی از ویژگی های خاص این نرم افزار:
- پردازش و کنترل جریان ورودی و خروجی سرور
- تواناایی بلاک کردن اسکریپت اگر یک IP خاص شبکه را به شدت مورد حمله قرار دهد.(بایت بر ثانیه،جریان بر ثانیه،بسته بر ثانیه)
- پشتیبانی PF_RING ZC/DNA.با شرط داشتن لایسنس
- پردازش Sflow V5
- پردازش NetFlow v5 , ,v9
- توانایی استفاده از PCAP در پاکت اسنیفینگ
- امکان استفاده در درگاه های Snap
- تشخیص حمله DDOS در 1 الی 2 ثانیه
- تست شده با اینترنت 10 گیگابیت با 5 الی 6 میلیون بسته در ثانیه با پردازنده Nic 82599 روی Intel i7 2600
- پشتیبانی کامل از پلاگین
سیستم عاملی هایی که پشتیبانی میشه:
- Linux (Debian 6/7, CentOS 6/7, Ubuntu 12+)
- FreeBSD 9, 10, 11
- Mac OS X Yosemite
برای فعال کردن Sflow :زمانی که پلاگین نصب شد، IP سرور را با درگاه 6343 در آن مشخص کنید.
لینک دانلود و منبع
آموزش روی نسخه های عمومی لینوکس:
برای Debian 6,7 و CentOS 6 ،7 شما باید از نصب کننده اتوماتیک استفاده کنید.
کد:wget https://raw.githubusercontent.com/FastVPSEestiOu/fastnetmon/master/fastnetmon_install.pl perl fastnetmon_install.pl
ضروری هست که تمامی شبکه های سرورتون را در فرم CIDR 11.22.33.44/24 در فایل /etc/networks_list قرار بدهید.
اگر شما در OpenVZ قصد اجرای پلاگین را داشته باشید،احتمال دارد که شبکه های به درستی شمخص نشده باشد.در نتیجه پلاگین می تواند از /proc/vz/veip بخواند.
بنابراین شما به همین شکل فایل network_list میتوانید subnet ها را وارد کنید.البته همراه با فرم CIDR.
اجرا پردازش اصلی:
کد:./opt/fastnetmon/fastnetmon
اجرای پردازش کلاینت در یک کنسول دیگر:
کد:/opt/fastnetmon/fastnetmon_client
فعال سازی برنامه در startup برنامه.خط زیر را /etc/rc.local وارد کنید.
کد:screen -S fastnetmon -d -m /root/fastnetmon/fastnetmon
اگر مشکلی بود،log را چک کنید.
کد:tail -f /var/logfastnetmon.log
زمانی که سرور مورد حمله قرار بگیرد، دو بار اسکریپت bash در مسیر زیر فراخوانی میشود.(البته اگر در مسیر زیر چیزی باشد)
کد:/usr/local/bin/notify_about_attack.sh
اولین بار که شروع حمله در نظر گرفته میشود اطلاعاتی مثل آی پی ، مسیر و قدرت حمله ثبت میشود.
دفعه دوم هنگامی که 100 بسته از این حمله همراه با جزئیات فراهم آورده شد،بررسی میشود که دقیقا چه اتفاقی افتاده است و ادامه روال ضد حمله.
ترجمه شده.