Geben Sie die offene Lösung FastNetMon 1.1.2 zur Überwachung von DoS / DDoS-Angriffen frei

    In den letzten 10 Monaten seit der Veröffentlichung von 1.0.0 wurde viel daran gearbeitet, das Programm zu verbessern.

    Von den wichtigsten Änderungen ist Folgendes zu beachten:
    • Die Fähigkeit, die beliebtesten Arten von Angriffen zu identifizieren: syn_flood, icmp_flood, udp_flood, ip_fragmentation_flood
    • Hinzufügen von Netflow Protocol Support, 5, 9 und 10 (IPFIX) Versionen unterstützt
    • Hinzufügen von Unterstützung für das sFLOW v5-Protokoll, das von den meisten modernen Netzwerk-Switches unterstützt wird
    • Unterstützung für die Verwendung von Netmap wurde hinzugefügt (Linux und FreeBSD werden unterstützt, eine spezielle Version des ixgbe-Treibers wird für Linux bereitgestellt: github.com/pavel-odintsov/ixgbe-linux-netmap ) für die Paketerfassung . Dieser Modus bietet zusammen mit PF_RING ZC die höchste Verkehrserfassungsleistung.
    • Unterstützung für PF_RING ZC hinzugefügt (für diesen Modus ist leider eine separate Lizenz für die PF_RING-Bibliothek erforderlich)



    Eine vollständige Liste der Änderungen finden Sie unten:
    • Es wurde die Möglichkeit hinzugefügt, Netflow basierend auf Vorlagen von mehreren Geräten (einschließlich virtueller Geräte) innerhalb desselben Gehäuses zu erfassen.
    • Grundlegende Unterstützung für IPv6 im Netflow-Modul. Der Kollektor kann die IPv6-Schnittstelle abhören. Die Protokollanalyse wird noch nicht unterstützt
    • Zu den Informationen über den Angriff gehört jetzt eine sehr große Anzahl von Feldern, darunter die verwendeten Protokolle, Pakettypen, TCP-Flags und vieles mehr. Auf diese Weise können Sie Angriffe so genau wie möglich identifizieren
    • Anstatt jede Sekunde zu berechnen, wird ein Durchschnitt der Angriffsgeschwindigkeit in den letzten X Sekunden verwendet, wodurch Fehlalarme minimiert werden
    • Es wurde die Möglichkeit hinzugefügt, Angriffsfingerabdrücke in separaten Dateien zu speichern
    • Es wurde die Möglichkeit hinzugefügt, ein Limit anzugeben, ab dem der Datenverkehr als Angriff auf die Anzahl der Streams, Pakete / Sekunde und Bytes / Sekunde betrachtet wird.
    • Die Integration in das ExaBGP-Projekt wurde hinzugefügt, mit der Sie blockierte IP-Adressen direkt an BGP-Router in Ihrem eigenen Netzwerk oder direkt über Uplink melden können
    • Durch die Unterstützung von Plugins ist es jetzt möglich, zusätzlich zu vorhandenen Systemen eigene Verkehrserfassungssysteme zu entwickeln
    • Init-Dateien für systemd-basierte Systeme hinzugefügt
    • Es wurde die Möglichkeit hinzugefügt, IP nach einem bestimmten Zeitraum zu entsperren
    • Möglichkeit zum Speichern von Angriffsdaten in Redis hinzugefügt
    • Unterstützung für das Entpacken des L2TP-Protokolls im Erfassungsmodus von Spiegelports hinzugefügt


    Von der Entwicklungsseite wurden folgende Änderungen vorgenommen:
    • Zu cmake build system migriert
    • Travis CI CI-Systemintegration hinzugefügt
    • Aus Gründen der Portabilität wurde die Verwendung der C ++ 11-Funktion abgelehnt


    Die Liste der unterstützten Plattformen hat enorme Änderungen erfahren. Die Unterstützung für die folgenden Systeme wurde hinzugefügt:
    • Fedora 21
    • Debian 6, 7, 8
    • CentOS 6, 7
    • FreeBSD 9, 10, 11
    • DragonflyBSD 4
    • MacOS X 10.10


    Binärpakete wurden für die folgenden Systeme kompiliert:

    Für andere Linux-Systeme wird empfohlen, das automatische Installationsprogramm zu verwenden .

    Mit der neuen Version können Sie eine sehr hohe Leistung erzielen. Die Verarbeitungsgeschwindigkeit von sFLOW / Netflow ist nahezu unbegrenzt (bis zu zehn und hundert Gigabit pro Sekunde). Für den PF_RING-Modus (nicht ZC) wird die maximale Geschwindigkeit im Bereich von ~ 3 MPS / 5GE erreicht. Die höchste Geschwindigkeit kann mit PF_RING ZC- oder Netmap-Verkehrserfassungssystemen erreicht werden. In beiden Bibliotheken können Sie bis zu 10 oder mehr Millionen Pakete pro Sekunde an gespiegelten Ports (10GE +) verarbeiten. Ich mache Sie darauf aufmerksam, dass bei einer sehr hohen Geschwindigkeit empfohlen wird, den Verbindungsverfolgungsmodus zu deaktivieren, der die Prozessorressourcen sehr stark belastet. Alle Messungen gelten für die Netzwerkkarte Intel i7 2600 und Intel 82599.

    Von den Dingen, die mit der Entwicklergemeinschaft zu tun haben, ist es erwähnenswert, dass das Gitter- Projekt aufgenommen wurde , um Probleme im Zusammenhang mit dem Projekt effektiv zu diskutieren. Zusätzlich wurde eine klassische Mailingliste hinzugefügt .

    Unabhängig davon möchten wir uns bei den Menschen bedanken , die einen großen Beitrag zur Unterstützung des Projekts geleistet haben, und vor allem bei FastVPS , ohne das dieses Projekt nicht möglich gewesen wäre!

    Jetzt auch beliebt: