ROS监控内网攻击与防止(针对ROS3.X以上).doc

今天网吧内网遭到外挂病毒攻击。。突然想到了做个监控攻击的脚本。。研究了几个小时。。发现美中不足。。发这个帖子只是抛砖引玉。。希望有兴趣及有能力之士加我一起研究。。言归正传。。先说一下思路。。我们一般遇到攻击都会登陆 winbo x 再利用 winbo x 自带的工具 torc h 来查看局域网内哪个IP 发的数据比较大或包比较多来判断。。这个我就不多说了。。论坛里有 N 多这方面的教程。。我这里只发一个图。。有时由于攻击太过于猛烈。。 winbox 登陆不了。。啥办? 在 ROS 本机登陆查看呀。。在 ROS 本机登陆后再利用命令来查看。。相关命令如下: /tool torch lan dst-address= 上面说的是我们最常用的临时解决方案。。那么如果要根治又要怎么办呢? 思路: 既然是攻击。。无非就是流量比较大。。而且一般都是定向攻击( 针对某个 IP)。。试想。。如果能让 ROS 检测到某个 IP 的流量大。。就将该 IP 列到黑名单。。把这黑名单的 IP 数据全给 DORP 掉。。在路由承受能力及网络结构承受能力 OK 的情况下。。可以保证不影响网络。。动手: 第一时间想从 TORC H 这个工具入手。。一翻研究后发现无法获得IP 列表里每个IP 的流量。。失败。。第二想到了 ROS 系统本身的 accounting (IP 流量统计功能) 。。基本测试成功! 缺点:并不是所有的 IP 他都统计。。唉。。唯一美中不足之处。。在此把脚本贴出来。。希望能与有能力的朋友一起研究。。脚本如下: 先开启 accounting 服务。。脚本如下: ip accounting set enabled=yes 将下面的脚本加入计划任务。。不懂计划任务的看这个链接。。 http://bbs./?boardid=20&Id=15140 /ip accounting snapshot take :foreach szwm in=[/ip accounting snapshot find bytes>4000000] do={/ip firewall address-list add address=[/ip accounting snapshot get $szwm src-address] list=DorpIP} /ip firewall filter add src-address=192