https://opennet.ru/openforum/vsluhforumID3/96446.html Доступен релиз программы FastNetMon 1.0.0 (https://github.com/FastVPSEestiOu/fastnetmon), предназначенной для выявления входящих и исходящих DDoS-атак на основе анализа транзитного трафика. Программа разработана для фиксации серьезных всплесков интенсивности отправки пакетов (сотни тысяч пакетов в секунду), как со стороны клиентов, так и со стороны внешней сети в сторону клиентов. Данные о трафике могут собираться через PF_RING (рекомендуется), PCAP (не рекомендуется) и ULOG2 (не рекомендуется). <br><br><br><br>На выходе программа выдаёт список 10 самых активных потребителей ресурсов сети. Выборки "топ 10" можно делать как по числу пакетов в секунду так и по трафику. Поддерживается передача управления внешнему скрипту, который сможет предпринять блокировку IP на/с которого идет атка или уведомить об атаке группу администраторов. FastNetMon умеет считать трафик по заданным диапазонам. Для хранения статистики используется БД Redis. <br><br><br><br>В настоящее время приложение уже опробовано в промышленном применении (на миррор https://opennet.ru/openforum/vsluhforumID3/96446.html#26 Mon, 30 Jun 2014 18:20:02 GMT Есть апдейты :)<br><br>1) Теперь нет завязки на С++ 11, он выкинут от начала до конца и теперь все должно компилится под Debian 6/7 и CentOS 6/7.<br>2) Внедрил отличный лакапер - patricia из MPM пакета<br>3) Отошел от пересчета с сэмплирование и обсчитываю данные ежесекундно <br>4) Исправил лютые баги :)<br><br>Чуточку больше Changes здесь:<br>We recalculate data for _all_ local ip's every second. You lock DoS/DDoS with speed of light!<br>In attack details added nanosecond timestamps<br>We dropped off C++ 11 support because it's buggy. Now you can compile tool on any modern platform!<br>Optimize calls of banner script. In old version it can result to script hangs<br>Migrate to boost::threads as more reliable threads for C++<br>Introduce new patricia based ip lookup code<br>Migrate to ncruses and do not produce loooong output in console<br> https://opennet.ru/openforum/vsluhforumID3/96446.html#25 Wed, 25 Jun 2014 14:02:47 GMT Идея отличная, но я не уверен, что смогу использовать те же парсеры для подключения к ipt_netflow, например. У меня наоборот есть мысль генерировать netflow или что-то опдобное ему - конвертировать набор байт в набор потоков от/до. <br> https://opennet.ru/openforum/vsluhforumID3/96446.html#24 Wed, 25 Jun 2014 12:34:24 GMT Насколько сложно прикрутить получение данных из нетфлоу? Было бы интересное решение: на больших трафках генерировать нетфлоу, а для уменьшения нагрузки анализировать в FastNetMOn уже нетфлоу, в данном случае минусы нетфлоу нивелируются из-за больших скоростей =) В данный момент такое можно сделать с помощью nProbe, но в таком режиме он платный...<br> https://opennet.ru/openforum/vsluhforumID3/96446.html#23 Wed, 25 Jun 2014 12:30:55 GMT &gt; DDoS также отличается от остального трафика тем, что на атакуемые хосты идет <br>&gt; трафик со значительно большего количества адресов чем в обычной ситуации. Само <br>&gt; количество трафика не обязательно сильно вырастает. Если один клиент подключен на <br>&gt; скорости 10Мбит/с, а другой на 1Гбит/с, и DDoS идет на первого <br>&gt; клиента, то атаку можно считать успешной при сравнительно низком трафике в <br>&gt; его сторону, но в топе мы его не увидим, т.к. у <br>&gt; нас есть другие клиенты с большими скоростями, которые и будут находится <br>&gt; в топе со своим обычным трафиком.<br><br>Да, боюсь в данном случае он ничего не покажет. Но серьезный трафик не всегда связан с высоким PPS и обычно что-то большое генерирует не более 1000 pps, поэтому при сортировке по пакетам/секунду Вы четко увидите. <br><br>Но вообще есть план, как сделать более серьезные тесты на DDoS, чем я в данный момент и занят.<br> https://opennet.ru/openforum/vsluhforumID3/96446.html#22 Wed, 25 Jun 2014 12:27:06 GMT При DDoS в почти ~1Mpps все работало отлично на i7 2600, но процессоры были нагружены почти полностью. Полагаю, если прикрутить PF_RING ZC, то будет еще быстрее, но тогда потребуется приобретать лицензию. <br> https://opennet.ru/openforum/vsluhforumID3/96446.html#21 Wed, 25 Jun 2014 12:16:03 GMT Какой трафик сможет обработать PF_RING+FastNetMоn в pps? Понятно, что все упирается в сервер, но на каких скоростях тестировали и железе? IPT_NETFLOW может генерировать netflow для трафика в несколько Mpps не на самом топовом сервере с 10Gb NIC.<br> https://opennet.ru/openforum/vsluhforumID3/96446.html#20 Wed, 25 Jun 2014 10:06:59 GMT DDoS также отличается от остального трафика тем, что на атакуемые хосты идет трафик со значительно большего количества адресов чем в обычной ситуации. Само количество трафика не обязательно сильно вырастает. Если один клиент подключен на скорости 10Мбит/с, а другой на 1Гбит/с, и DDoS идет на первого клиента, то атаку можно считать успешной при сравнительно низком трафике в его сторону, но в топе мы его не увидим, т.к. у нас есть другие клиенты с большими скоростями, которые и будут находится в топе со своим обычным трафиком.<br> https://opennet.ru/openforum/vsluhforumID3/96446.html#19 Tue, 24 Jun 2014 06:32:52 GMT Боюсь, что тут я могу сказать лишь то, что мой софт сугубо заточен на платформу Linux. Если кто-то сможет добавить поддержку netmap - я с радостью приму эти фиксы. Но сам я не специалист ни по FreeBSD, ни по netmap.<br> https://opennet.ru/openforum/vsluhforumID3/96446.html#18 Tue, 24 Jun 2014 06:08:28 GMT К IpCad данная задача не имеет ни малейшего отношения. Он считает трафик, мы - фиксируем атаки.<br>