Este es el comando flow-dscan que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
flujo-dscan - Detectar análisis y otras actividades de red sospechosas.
SINOPSIS
flujo-dscan [-bBhlmpwW] [-d nivel de depuración] [-D iplist_profundidad] [-s archivo_estado] [-I
filtro_de_entrada] [-L suprimir_lista] [-o filtro_de_salida] [-O excesivos_octetos] [-PAG
excesivos_flujos] [-S port_scan_trigger] [-t ager_timeout]
DESCRIPCIÓN
El flujo-dscan La utilidad se utiliza para detectar actividades sospechosas como escaneo de puertos, host
escaneo y flujos con octetos o paquetes inusualmente altos. Una fuente y un destino
Se admite la supresión de lista para ayudar a prevenir falsas alarmas debido a hosts como servidores de nombres
o servidores web populares que intercambian tráfico con una gran cantidad de hosts. Las alarmas son
registrado en syslog o stderr. El estado interno de flow-dscan se puede guardar y cargar en
permitir la operación interrumpida.
flujo-dscan funcionará mejor si se configura para ver solo el tráfico entrante o saliente por
utilizando la opción de filtro de interfaz de entrada o salida.
El escáner de host funciona contando la longitud de la cadena de hash de IP de destino. Si se
va por encima de 64, entonces se considera que src está escaneando.
El escáner de puertos funciona manteniendo un mapa de bits del número de puerto de destino <1024 por
IP de destino. Si supera 64, se considera que src está escaneando el puerto
destino.
Cuando un src se ha marcado como escaneado, no se informará de nuevo hasta que el registro sea
envejecido y suficientes flujos lo activan de nuevo.
Una señal SIGHUP indicará a flow-dscan que vuelva a cargar la lista de supresión.
Una señal SIGUSR1 indicará a flow-dscan que descargue su estado interno.
OPCIONES
-b No se separe y se ejecute en segundo plano. Las alertas van a stderr.
-B No se separe y se ejecute en segundo plano. Las alertas van al syslog.
-d nivel de depuración
Habilite la depuración.
-D iplist_profundidad
Profundidad de la lista de hosts de IP para detectar el escaneo de hosts.
-h Mostrar ayuda.
-i filtro_de_entrada
Lista de filtros de interfaz de entrada.
-I filtro_de_salida
Lista de filtros de interfaz de salida.
-l Estado de carga de /var/tmp/dscan.estado o el nombre de archivo especificado con -s.
-L suprimir_lista
Nombre base de suprimir archivos. Hay dos archivos de supresión para entrada y salida
tráfico. La sintaxis de suprimir archivo es
Protocolo de dirección IP puerto_origen puerto_destino
Un '-' se puede utilizar como comodín en el protocolo, source_port y
campos de puerto_destino. Solo un único protocolo, source_port y
destination_port es compatible con la dirección IP.
-m Filtro de direcciones de multidifusión. Úselo para ignorar las direcciones de multidifusión.
-O excesivos_octetos
Active una alerta si se procesa un flujo con un campo de octetos que excede
excesivos_octetos.
-p Volcar estado a /var/tmp/dscan.estado o el nombre de archivo especificado con -s.
-P excesivos_paquetes
Active una alerta si se procesa un flujo con el campo de paquetes excediendo
excesivos_paquetes.
-s archivo de estado
Estado del nombre del archivo. Predeterminado a /var/tmp/dscan.estado
-S port_scan_trigger
Número de puertos que debe haber utilizado una dirección IP para que se considere escaneo.
-t ager_timeout
Cuánto tiempo mantener los flujos. Por defecto a 90000. Esto se mide en caudales
procesado.
-T excesivo_tiempo
Active una alerta si se procesa un flujo con el campo Fin-Inicio excediendo
excesivo_tiempo.
-w Filtrar (ignorar) el tráfico www entrante candidato, es decir, protocolo IP 6, puerto de origen 80,
y puerto de destino> 1023.
-W Filtrar (ignorar) el tráfico www saliente candidato, es decir, el protocolo IP 6, destino
puerto 80 y puerto de origen> 1023.
EJEMPLOS
En una topología donde 25 es la única interfaz de salida, ejecute flow-dscan sobre los datos en
/ flujos / krc4. Ignore el tráfico de multidifusión y www, almacene el estado interno en
dscan.archivo de estado a la salida. Usar archivos de lista de supresión vacíos dscan.suprimir.src y
dscan.suprimir.dst. La salida producida por flow-dscan típicamente debe ser manualmente
inspeccionado utilizando filtro de flujo y impresión de flujo. Muchas de las alertas serán falsas hasta que
las listas de supresión se rellenan para el entorno local.
gato de flujo / flujos / krc4 | flujo-dscan -I25 -b -m -s dscan.archivo de estado -p -W
Utilice flow-dscan en línea mediante los servicios de onworks.net