Detección de ataques DoS/DDoS en redes de alto rendimiento usando varios motores de captura de paquetes.
|
FastNetMon, es un analizador de carga de DoS/DDoS para redes de alto rendimiento, construido con varios motores de captura de paquetes (NetFlow, IPFIX, sflow, SnabbSwitch, NetMap, PF_RING, PCAP).
Esta herramienta nos permite detectar los dispositivos en nuestras redes que envían o reciben grandes volúmenes de: paquetes, bytes o flujos de datos por segundo. En términos FastNetMon se refiera a un flujo de datos a una o varias conexiones UDP, TCP, ICMP o con: IP única de origen, IP de destino, puerto origen, puerto destino y protocolo. Con la opción de llamar a un script externo para que: notifique o apagar el servidor o el cliente.
Soporta los motores de captura de paquetes:
- NetFlow v5, v9.
- IPFIX.
- Sflow v4 y v5.
- Puerto de captura Mirror/SPAN con PF_RING (con modo ZC/ADN necesita licencia), SnabbSwitch, NetMap y PCAP.
Para habilitar sflow, sólo hay que especificar la IP del servidor que ejecuta FastNetMon y especificar el puerto (configurable) por defecto 6343. Para permitir Netflow, sólo hay que especificar IP del servidor que ejecuta FastNetMon y especificar el puerto (configurable) por defecto 2055.
Entre las características de FastNetMon destaca:
- Soporte completo para el protocolo BGP y especificaciones RFC 5575.
- Elaborado proceso para distinguir el tráfico entrante del saliente.
- Permite definir un umbral si una IP supera el envió de: paquetes, bytes o flujo de datos por segundo. En el que activara un script para notificar o bloquear dicho trafico.
- Los umbrales pueden ser configurados por cada subred o por grupos de hosts.
- Anunciar IPs bloqueadas a través de BGP para routers con ExaBGP
- GoBGP integración para anuncios IPv4 unicast.
- La integración completa con Graphite y InfluxDB.
- Integración con Redis.
- Integración con MongoDB.
- Realiza una inspección a fondo de los paquetes del tráfico del atacante.
- Soporte para NetMap (sólo tarjetas de red de hardware de Intel o cualquier tipo de maquina virtual).
- Soporte para SnabbSwitch.
- Con filtro NetFlow v5 flujos o paquetes sflow con scripts LUA (útil para excluir determinados puertos)
- Soporta decapsulación L2TP, procesamiento untagging y VLAN MPLS en modo de espejo.
- Funciona en un servidor con capacidad de enrrutamiento.
- Detecta DoS/DDoS en tan sólo 1 o 2 segundos.
- Probado hasta 10 Gb con 12 Mpps en Intel i7 3820 con NIC Intel 82599.
- Soporte completo de plugin.
- Capta fingerprints de ataque en formato PCAP.
- Soporte completo para ataque más populares.
Más información y descarga de FastNetMon:
https://github.com/pavel-odintsov/fastnetmon