中新金盾抗拒绝服务系统攻击监控软件说明书

中新金盾抗拒绝服务系统攻击监控软件版本号：201101A中新金盾抗拒绝服务系统攻击监控软件使用说明版本V1.1.0.2为便于客户管理多台以及集群抗拒绝服务系统，我们为您提供了金盾抗拒绝服务系统管理软件。可针对金盾抗拒绝服务系统进行实时监控，根据流量和连接设置报警参数。一、软件下载：下载地址：文件名称：中新金盾抗拒绝服务系统监控软件下载jdfwmon.rar后解压缩到jdfwmon.目录，可看到config.inifwmon.exehosts.ini和说明四个文件config.ini为配置文件（请不要修改）fwmon.exe为控制器主文件hosts.ini为单一IP监控报警配置文件jdfwmon文件注：在使用过软件的流量牵引功能后，会自动在目录下生成一个日志文件flowdiv.log二、使用说明：运行fwmon.exe文件，界面如图一：（图一）1、攻击监控界面：（图二）1.1设备管理设备地址：通过此项设置抗拒绝服务系统管理地址，设置格式为：*.*.*.*：28099（*.*.*.*表示外网管理IP地址）用户名：输入抗拒绝服务系统管理用户名密码：输入抗拒绝服务系统管理控制密码设置：输入抗拒绝服务系统管理地址、用户名和密码后，点击“设置”即可添加受监控抗拒绝服务系统删除：选中受监控抗拒绝服务系统后点击“删除”可取消该台抗拒绝服务系统的监控注:双击流量记录下的列表，会出来这台抗拒绝服务系统的主机列表1.2流量记录设备信息：显示管理地址、用户、状态当前状态：显示流量、连接详细统计：显示攻击频率2、参数设置：（图三）设备查询间隔：默认值60秒，即监控器对于设备进行查询的间隔时间为60秒查询一次，可根据客户需要调整数值重复报警间隔：默认值300秒，即当首次报警后如仍符合报警条件会在300秒后进行二次报警，可根据客户需要调整数值主机显示数量：默认值10个，即在主机列表中显示最大流量的前10台主机状态，可根据客户需要调整数值流量统计方式：表示进行流量报警设置时可选择IN、OUT或IN+OUT形式进行流量计算连接统计方式：表示进行连接报警设置时可选择TCPin、TCPout、TCP（TCP总连接）、UDP（总连接）、及TCP+UDP形式进行连接计算SYSLOG服务器：设置SYSLOG服务器报警方式，通过添加SYSLOG服务器地址，便于客户对日志信息进行管理3、报警设置：（图四）3.1报警条件总流量报警：指受监控抗拒绝服务系统的流量和，即所有受监控抗拒绝服务系统的流量（in流量和out流量和）达到此设置数值时，开始报警，单位为MBPS。该项如果不进行设置，则关闭此项，即视为不进行总流量监控。总连接报警：指受监控抗拒绝服务系统的连接和，即所有受监控抗拒绝服务系统的连接（in连接和out连接和）达到此设置数值时，开始报警，单位为个。该项如果不进行设置，则关闭此项，即视为不进行总连接监控。单台设备流量报警：指单台抗拒绝服务系统流量，即受监控抗拒绝服务系统中有一台流量（in流量和out流量和）达到此设置数值时，开始报警，单位为MBPS。该项如果不进行设置，则关闭此项，即视为不进行单台设备流量监控报警，但会记录到日志。单台设备连接报警：指单台抗拒绝服务系统连接，即受监控抗拒绝服务系统中有一台连接（in连接和out连接和）达到此设置数值时，开始报警，单位为个。该项如果不进行设置，则关闭此项，即视为不进行单台设备连接监控。主机流量报警：指单一主机单台设备的流量，即受监控抗拒绝服务系统某一主机单台设备流量（in流量和out流量和）达到此设置数值时，开始报警，单位为MBPS。该项如果不进行设置，则关闭此项，即视为不进行单一主机单台设备流量监控。主机连接报警：指单一主机的连接，即受监控抗拒绝服务系统某一主机连接数（in连接和out连接和）达到此设置数值时，开始报警，单位为个。该项如果不进行设置，则关闭此项，即视为不进行单一主机连接监控。3.2攻击频率SYN频率报警：指当受监控抗拒绝服务系统上，每秒的SYN攻击包总数达到设定阀值时开始报警，单位为pps（包每秒）。该项如果不进行设置，则关闭此项，即视为不进行SYN攻击频率监控报警ACK频率报警：指当受监控抗拒绝服务系统上，每秒的ACK攻击包总数达到设定阀值时开始报警，单位为pps（包每秒）。该项如果不进行设置，则关闭此项，即视为不进行ACK攻击频率监控报警UDP频率报警：指当受监控抗拒绝服务系统上，每秒的UDP攻击包总数达到设定阀值时开始报警，单位为pps（包每秒）。该项如果不进行设置，则关闭此项，即视为不进行UDP攻击频率监控报警ICMP频率报警：指当受监控抗拒绝服务系统上，每秒的ICMP攻击包总数达到设定阀值时开始报警，单位为pps（包每秒）。该项如果不进行设置，则关闭此项，即视为不进行ICMP攻击频率监控报警Frag频率报警：指当受监控抗拒绝服务系统上，每秒的Frag分片攻击包总数达到设定阀值时开始报警，单位为pps（包每秒）。该项如果不进行设置，则关闭此项，即视为不进行Frag分片攻击频率监控报警New-TCP频率报警：指当受监控抗拒绝服务系统上，每秒新建立的TCP连接总数达到设定阀值时开始报警，单位为个。该项如果不进行设置，则关闭此项，即视为不进行TCP新连接频率监控报警New-UDP频率报警：指当受监控抗拒绝服务系统上，每秒新建立的UDP连接总数达到设定阀值时开始报警，单位为个。该项如果不进行设置，则关闭此项，即视为不进行UDP新连接频率监控报警注：Udp是无连接的，此处的UDP连接是指，有一次交互传输的过程3.3报警方式（图五）忽略：表示不进行告警条件设置，但会记录到日志窗口闪动：设定后会进行窗口闪动提示铃声告警：设定后会进行铃声报警提示（设定铃声必须为：wav格式）邮件通知：设定后会发送邮件进行提示短信提醒：设定后可进行短信报警提示3.4报警方式详细参数配置铃声设定：通过浏览已存wav文件路径，进行设定，如图六：（图六）邮件设定：通过设置SMTP服务器、发送邮件地址、接收邮件地址、验证用户名、验证密码进行确定，实现邮件告警功能，如图七：（图七）注：不支持安全套接字的邮件短信设定：邮箱如果设置短信提醒，则mail报警即可实现短信报警功能4、流量牵引4.1作用本软件的流量牵引功能通过从金盾抗拒绝服务系统所收集到的流量信息进行判断，当流量超过牵引触发值时，软件会自行发起一个telnet到事先指定的网络设备中（该设备是要有决定流量走向能力的），并将预先定议的一个命令集中的所有操作命令在设备中执行。以改变特定主机的流量。（如写入一条静态路由之类的方式）。4.2使用说明点击流量牵引弹出如下对话框(图八)4.2.1触发参数：索引流量触发：设置该值后，当某主机流量超过该值持续次数：超过流量触发值指定次数就会启用牵引自动解封：达到设定的时间后会自动放弃流量牵引4.2.2已牵引列表：显示已牵引的地址和时间。4.2.3牵引配置点击牵引配置弹出如下对话框（图九）方式：HTTP为其它功能使用，流量牵引仅使用Telnet模式地址：需要执行命令集的网络设备的IP地址和登录端口，格式如图（华为、Csico和Juniper等厂商的设备都可以，但对应的命令参考相应厂商的命令）参数：此处就是建立命令集以Cisco设备为例PASSWORD//telnet登录密码注：有时可能采取本地用户名+密码方式，此时就要先写用户名，再换行写密码了ENABLE_PASSWORD//进入特权enable模式的密码注：在此命令前应该加上进入特权模式的命令，具体命令跟据不同厂商而定，如cisco的为enable,华为的为system，juniper的为config。总之一切都按照实际中登录设备的步骤进行就好如图：此处以cisco设备为例(图十)Configureterminal//cisco设备进入配置模式的命令FLOWDIV_CANCEL_KEYWORDno/FLOWDIV_CANCEL_KEYWORDiprouteHOST_ADDRESS255.255.255.255null0//此处为cisco设备添加/取消一条静态路由的命令该命令分为两部分：1）牵引设置iprouteHOST_ADDRESS255.255.255.255null0为添加一条静态的主机路由，下一跳为null0。此处HOST_ADDRESS为一个变量，fwmon会自动将触发了牵引设置的IP替换此变量。也可以不用此变量，直接写成一个ip。2)取消牵引设置FLOWDIV_CANCEL_KEYWORDno/FLOWDIV_CANCEL_KEYWORD此部分，在执行命令集时时候不会被执行。只有当用户在流量牵引界面中选择了一个已被牵引的地址并点取消牵引按钮的时候才会被执行，即no掉先前的操作。注：在编写命令集的时候也支持跟实际设备上一样的命令简写方式，如：enable命令可以写成en，Configureterminal命令写成conft都可以，只要写出的命令在设备上能正确执行4.2.4牵引配置中密码的密文显示在点击牵引配置查看先前配置的参数，发现其中的密码都是以明文显示，这种方式显然容易造成设备权限泄漏的事情，不符合当前网络管理的要求如图十一所示（图十一）因而此处密码必需以密文方式显示操作如下：1）点击索引配置2）修改参数中的密码输写方式:以“####zxsoft####”将密码写在其中（图十二）3)点击确定后，再查看牵引配置中的参数会发现密码字段为密文显示（图十三）5、主机列表：（图十四）点击主机列表按钮，默认会按流量大小显示前10个的主机的参数，流量是当前所监控的金盾设备下主机的累加地址：根据主机列表数显示流量最大的N台主机地址（此处的N可以通过参数设置下的主机显示数量进行设置）流量：显示该主机当时带宽占用情况，以MBPS为单位，包括in流量、out流量连接：显示该主机的连接数，包括in连接、out连接、udp连接攻击频率：显示该主机当时的攻击频率注：如设置多台集群管理地址，可通过选择其中一台管理查看单台金盾抗拒绝服务设备的主机列表显示，若未选择某台金盾设备管理而直接点击“主机列表”，可查看到前10个主机总流量、总攻击频率及总连接情况。6、主机参数（图十五）针对单一主机的监控设置6.1主机触发参数主机地址设置需要单个监控的主机IP地址流量报警设置达到报警流量的触发值连接报警达到触发报警流量的次数的个数流量牵引根据需要设置牵引的流量值6.2攻击频率触发SYN频率报警：指当受监控抗拒绝服务系统上，每秒的SYN攻击包总数达到设定阀值时开始报警，单位为pps（包每秒）。该项如果不进行设置，则关闭此项，即视为不进行SYN攻击频率监控报警ACK频率报警：指当受监控抗拒绝服务系统上，每秒的ACK攻击包总数达到设定阀值时开始报警，单位为pps（包每秒）。该项如果不进行设置，则关闭此项，即视为不进行ACK攻击频率监控报警UDP频率报警：指当受监控抗拒绝服务系统上，每秒的UDP攻击包总数达到设定阀值时开始报警，单位为pps（包每秒）。该项如果不进行设置，则关闭此项，即视为不进行UDP攻击频率监控报警ICMP频率报警：指当受监控抗拒绝服务系统上，每秒的ICMP攻击包总数达到设定阀值时开始报警，单位为pps（包每秒）。该项如果不进行设置，则关闭此项，即视为不进行ICMP攻击频率监控报警Frag频率报警：指当受监控抗拒绝服务系统上，每秒的Frag分片攻击包总数达到设定阀值时开始报警，单位为pps（包每秒）。该项如果不进行设置，则关闭此项，即视为不进行Frag分片攻击频率监控报警New-TCP频率报警：指当受监控抗拒绝服务系统上，每秒新建立的TCP连接总数达到设定阀值时开始报警，单位为个。该项如果不进行设置，则关闭此项，即视为不进行TCP新连接频率监控报警New-UDP频率报警：指当受监控抗拒绝服务系统上，每秒新建立的UDP连接总数达到设定阀值时开始报警，单位为个。该项如果不进行设置，则关闭此项，