flow-dscan - クラウドでオンライン

Ubuntu Online、Fedora Online、Windows オンラインエミュレーター、または MAC OS オンラインエミュレーターを介して、OnWorks の無料ホスティングプロバイダーで flow-dscan を実行します。

これは、Ubuntu Online、Fedora Online、Windows オンラインエミュレーター、MAC OS オンラインエミュレーターなどの複数の無料オンラインワークステーションの XNUMX つを使用して、OnWorks 無料ホスティングプロバイダーで実行できるコマンド flow-dscan です。

Ubuntuで実行 Fedoraで実行 WindowsSimで実行 MACOSSimで実行

プログラム：

NAME

フロースキャン — スキャンやその他の不審なネットワークアクティビティを検出します。

SYNOPSIS

フロースキャン [-bBhlmpwW] [-d デバッグレベル] [-NS iplist_ Depth] [-NS 状態ファイル] [-私
入力フィルター] [-L 抑制リスト] [-O 出力フィルター] [-O 過剰なオクテット] [-NS
過剰なフロー] [-NS ポートスキャントリガー] [-NS ager_timeout]

DESCRIPTION

この フロースキャン ユーティリティは、ポートスキャン、ホストなどの不審なアクティビティを検出するために使用されます。
スキャン、および異常に高いオクテットまたはパケットを含むフロー。送信元と送信先
ネームサーバーなどのホストによる誤警報の防止に役立つ抑制リストがサポートされています。
または、多数のホストとトラフィックを交換する一般的な Web サーバー。アラームは
syslog または stderr に記録されます。 flow-dscan の内部状態は、次の場所に保存およびロードできます。
中断された操作を可能にします。

フロースキャン インバウンドまたはアウトバウンドのトラフィックのみを監視するように構成されている場合に最適に機能します。
入力または出力インターフェイスフィルターオプションを使用します。

ホストスキャナは、宛先 IP ハッシュチェーンの長さをカウントすることによって機能します。それであれば
64 を超えると、src はスキャン中であるとみなされます。

ポートスキャナは、宛先ポート番号のビットマップを 1024 未満に維持することで機能します。
宛先IP。 64 を超える場合、送信元はポートをスキャンしていると見なされます。
目的地。

src にスキャン中というフラグが付けられている場合、レコードがスキャンされるまで再度報告されません。
時間が経過すると、十分なフローが再び発生します。

SIGHUP 信号は、flow-dscan に抑制リストを再ロードするように指示します。

SIGUSR1 信号は、flow-dscan に内部状態をダンプするように指示します。

OPTIONS

-b 切り離してバックグラウンドで実行しません。アラートは標準エラー出力に送信されます。

-B 切り離してバックグラウンドで実行しません。アラートは syslog に送信されます。

-d デバッグレベル
デバッグを有効にします。

-D iplist_ Depth
ホストスキャンを検出するための IP ホストリストの深さ。

-hヘルプを表示します。

-i 入力フィルター
入力インターフェースフィルターリスト。

-I 出力フィルター
インターフェースフィルターリストを出力します。

-l 状態をロードします /var/tmp/dscan.state または -s で指定されたファイル名。

-L 抑制リスト
抑制ファイルのベース名。入力用と出力用に XNUMX つの抑制ファイルがあります
渋滞。抑制ファイルの構文は次のとおりです。

IP アドレスプロトコル送信元ポート宛先ポート

「-」は、プロトコル、source_port、および
destination_port フィールド。単一のプロトコル、source_port、および
destination_port は IP アドレスごとにサポートされます。

-m マルチキャストアドレスフィルター。マルチキャストアドレスを無視するために使用します。

-O 過剰なオクテット
フローがオクテットフィールドを超えて処理された場合にアラートをトリガーします
過剰なオクテット.

-p 状態をダンプします /var/tmp/dscan.state または -s で指定されたファイル名。

-P 過剰なパケット
パケットフィールドが超過してフローが処理された場合にアラートをトリガーします
過剰なパケット.

-s ステートファイル
状態ファイル名。デフォルトは /var/tmp/dscan.state

-S ポートスキャントリガー
スキャンとみなされるために IP アドレスが使用する必要があるポートの数。

-t ager_timeout
フローを維持する期間。デフォルトは 90000 です。これはフローで測定されます。
処理されました。

-T 超過時間
End-Start フィールドが超過してフローが処理された場合にアラートをトリガーします
超過時間.

-w 候補の受信 www トラフィックをフィルタリング (無視) します。つまり、IP プロトコル 6、送信元ポート 80、
および宛先ポート > 1023。

-W 候補のアウトバウンド www トラフィック、つまり IP プロトコル 6、宛先をフィルター (無視) します。
ポート 80、および送信元ポート > 1023。

例

25 が唯一の出力インターフェイスであるトポロジでは、次のデータに対して flow-dscan を実行します。
/フロー/krc4。 www およびマルチキャストトラフィックを無視し、内部状態を
dscan.状態ファイル 出口で。空の抑制リストファイルを使用する dscan.suppress.src と
dscan.suppress.dst。 flow-dscan によって生成される出力は通常、手動で行う必要があります。
フローフィルターとフロープリントを使用して検査されます。アラートの多くは、
抑制リストはローカル環境用に設定されます。

フローキャット /フロー/krc4 | フロースキャン -I25 -b -m -s dscan.状態ファイル -p -W

onworks.net サービスを使用してオンラインで flow-dscan を使用する