vt-ng. Ranking & Zusammenfassung
- Name des Herausgebers:
- Nir Tzachar
- Website des Verlags:
- http://www.cs.bgu.ac.il/~tzachar/vt-ng.html
vt-ng. Stichworte
vt-ng. Beschreibung
VT-NG ist ein Virus-Drossel-Daemon. VT-NG-Projekt ist ein Virus-Throttling-Daemon.SynopsisVT-NG OperationVT-NG erfasst Viren und Wurm wie Aktivität basierend auf Kommunikationsmustern; Es kann (1) verwendet werden, um infizierte Hosts in Ihrem internen Netzwerk zu erkennen, und (2) Stoppen Sie die Ausbreitung von Malewaren. Die Erkennung basiert auf der Tatsache, dass MaleWare in der Regel aus verschiedenen Gründen, um viele Anbindung an das Out-Side-Netzwerk zu initiieren. Möge es sein, "home home" sein, weitere Maleware herunterladen oder das Netz nach anderen anfälligen Hosts scannen. Die häufigste Setup von VT-NG ist auf einer Gateway-Maschine, so dass jeder Verkehr mit Ursprung in Ihrem internen Netzwerk durch VT-NGD (der VT-NG-Daemon) übergeht. VT-NG kann jedoch auf einem einzelnen Host installiert sein, um diesen einzelnen Host zu schützen. Wir rufen die Maschine an, auf der VT-NG installiert ist Der Throttler VT-NG arbeitet auf folgende Weise; Für jede IP-Adresse, IP, IP, im internen Netzwerk, verbindet VT-NGD eine Paketwarteschlange. Jedes Mal, wenn ein Paket, p, entweder ein UDP-Paket oder ein Paket, das eine TCP-Verbindung initiiert, durch den Throttler, P wird zuerst auf VT-NGD übertragen. Dies geschieht mit Hilfe des Warteschlangenziels von iptables (8). Wenn VT-NGD ein Paket p empfängt, folgt VT-NGD folgende Regeln: 1. Prüfen Sie, ob die mit der Quelladresse von P verbundene Paketwarteschlange gedrosselt ist. Wenn es gedrosselt ist, legen Sie das Paket ab. Das heißt, informieren Sie den Kernel, um P zu fällen und nicht zu senden. 2. Wenn die Warteschlange nicht gedrosselt ist, akzeptieren Sie p. Das heißt, passen Sie auf den Kernel zur Übertragung zurück. 2.1. Setzen Sie P in die Paketwarteschlange ein, mit einer konfigurierbaren Verzögerung, sagen Sie 2 Sekunden. 2.2. Wenn die Paketwarteschlange jetzt entweder voll oder oberhalb eines bestimmten High-Wasserzeichens ist, wird die Paketwarteschlange als dolotted markiert. Wenn ein Paket für eine Dauer von 2 Sekunden in eine Warteschlange gestellt wurde, und mindestens 2 Sekunden lang sind, deaktivieren Sie das Paket von der Warteschlange. Wenn die Warteschlange als gedrosselt markiert war, und die Warteschlangengröße liegt nun unter einem bestimmten Wasserzeichen, VT-NGD, die die Warteschlange nicht drosselt. Optionen Details-H, --Help Drucken Sie die Verwendung der Verwendung. -c, --config Legen Sie eine Konfigurationsdatei an. Eine Beispielkonfigurationsdatei ist im Verteilungspaket bereitgestellt. -D, --Default-Delay-Wert Die Standardzeitdauer, die jedes Paket in einer Warteschlange platziert ist. Spezifische Verzögerungen für bestimmte IP-Adressen können über die Konfigurationsdatei konfiguriert werden. -Q, --Default-warteRe-Size-Wert Die Größe der Standardpaket-Warteschlange. Spezifische Warteschlangengrößen für bestimmte IP-Adressen können über die Konfigurationsdatei konfiguriert werden. --Default-High-Watermark-Wert-Wert Der Standardwert mit hoher Wasserzeichen. Spezifische Werte für bestimmte IP-Adressen können über die Konfigurationsdatei konfiguriert werden. --Default-Low-Watermark-Wert-Wert Der Standardwert mit geringem Wasserzeichen. Spezifische Werte für bestimmte IP-Adressen können über die Konfigurationsdatei konfiguriert werden. -t, --Default-Hot-Hosts Werte eine Liste der aktuellsten IP-Adressen, denen Pakete bestimmt waren, wird für jede Quelle IP gespeichert. Für jedes Paket wird vor der Verarbeitung des Pakets die Zieladresse inspiziert. Wenn sich das Zielpaket in der Liste befindet, wird das Paket akzeptiert und die Warteschlangenlogik wird nicht beachtet. -a, --default-alert-script-Skript, wenn eine Warteschlange gedrosselt ist, wird dieses Skript aufgerufen. Die folgenden Argumente werden übergeben: 1. Start / STOP -> Anzeigen, ob Aktivität gestartet oder gestoppt ist. 2. IP -> Die Ursprungs-IP, die die Erkennung auslöst. 3. Port -> Der zugehörige Port 4. IP -> Das Ziel-IP 5. Port -> Der Zielanschluss Unterschiedliche Skripts für verschiedene Quell-IP-Adressen können in der Konfigurationsdatei angegeben werden. Wenn auch kein Skript als Standard oder für eine bestimmte IP vorhanden ist, wird keiner ausgeführt.-S, - Simulation im Simulationsmodus ausgeführt. Lassen Sie niemals Pakete fallen, sondern fungieren Sie, als ob Sie dies tun. -p, --print-stat Drucken Sie einen Statusbericht an die Konsole. --debug Run im Debugging-Modus. Drucken Sie weitere Ausführere Informationen zum Protokoll. --Log-to-stdout-Protokoll auf stdout Zusätzlich zu syslog.Requirements: · Die Boost-BibliothekenWas neu in dieser Version: · Der Logger ist jetzt Thread Safe. · Ein einfacher Fehler in der Konfigurationsdatei-Parser wurde behoben.
vt-ng. Zugehörige Software
