Detección de ataques DoS/DDoS en redes de alto rendimiento usando varios motores de captura de paquetes.

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

FastNetMon, es un analizador de carga de DoS/DDoS para redes de alto rendimiento, construido con varios motores de captura de paquetes (NetFlow, IPFIX, sflow, SnabbSwitch, NetMap, PF_RING, PCAP).

Esta herramienta nos permite detectar los dispositivos en nuestras redes que envían o reciben grandes volúmenes de: paquetes, bytes o flujos de datos por segundo. En términos FastNetMon se refiera a un flujo de datos a una o varias conexiones UDP, TCP, ICMP o con: IP única de origen, IP de destino, puerto origen, puerto destino y protocolo.  Con la opción de llamar a un script externo para que: notifique o apagar el servidor o el cliente.

fastnetmon_screen

Soporta los motores de captura de paquetes:

  • NetFlow v5, v9.
  • IPFIX.
  • Sflow v4 y v5.
  • Puerto de captura Mirror/SPAN con PF_RING (con modo ZC/ADN necesita licencia), SnabbSwitch, NetMap y PCAP.

Para habilitar sflow, sólo hay que especificar la IP del servidor que ejecuta FastNetMon y especificar el puerto (configurable) por defecto 6343. Para permitir Netflow, sólo hay que especificar IP del servidor que ejecuta FastNetMon y especificar el puerto (configurable) por defecto 2055.

Entre las características de FastNetMon destaca:

  • Soporte completo para el protocolo BGP y especificaciones RFC 5575.
  • Elaborado proceso para distinguir el tráfico entrante del saliente.
  • Permite definir un umbral si una IP supera el envió de: paquetes, bytes o flujo de datos por segundo.  En el que activara un script para notificar o bloquear dicho trafico.
  • Los umbrales pueden ser configurados por cada subred o por grupos de hosts.
  • Anunciar IPs bloqueadas a través de BGP para routers con ExaBGP
  • GoBGP integración para anuncios IPv4 unicast.
  • La integración completa con Graphite y InfluxDB.
  • Integración con Redis.
  • Integración con MongoDB.
  • Realiza una inspección a fondo de los paquetes  del tráfico del atacante.
  • Soporte para NetMap (sólo tarjetas de red de hardware de Intel o cualquier tipo de maquina virtual).
  • Soporte para SnabbSwitch.
  • Con filtro NetFlow v5 flujos o paquetes sflow con scripts LUA (útil para excluir determinados puertos)
  • Soporta decapsulación L2TP, procesamiento untagging y VLAN MPLS en modo de espejo.
  • Funciona en un servidor con capacidad de enrrutamiento.
  • Detecta DoS/DDoS en tan sólo 1 o 2 segundos.
  • Probado hasta 10 Gb con 12 Mpps en Intel i7 3820 con NIC Intel 82599.
  • Soporte completo de plugin.
  • Capta fingerprints de ataque en formato PCAP.
  • Soporte completo para  ataque más populares.

Fuente:http://www.gurudelainformatica.es/

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone