中新金盾抗拒绝服务系统攻击监控软件说明书
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中新金盾抗拒绝服务系统攻
击监控软件
版本号:201101A
中新金盾抗拒绝服务系统攻击监控软件使用说明
版本V1.1.0.2
为便于客户管理多台以及集群抗拒绝服务系统,我们为您提供了金盾抗拒绝服务系统管理软件。可针对金盾抗拒绝服务系统进行实时监控,根据流量和连接设置报警参数。
一、软件下载:
下载地址:/services_06.html
文件名称:中新金盾抗拒绝服务系统监控软件
下载jdfwmon.rar 后解压缩到 jdfwmon. 目录,可看到 config.ini fwmon.exe hosts.ini 和说明四个文件 config.ini 为配置文件(请不要修改) fwmon.exe 为控制器主文件 hosts.ini为单一IP监控报警配置文件
jdfwmon文件
注:在使用过软件的流量牵引功能后,会自动在目录下生成一个日志文件flowdiv.log
二、使用说明:
运行 fwmon.exe 文件,界面如图一:
(图一)1、攻击监控界面:
(图二)
1.1设备管理
设备地址:
通过此项设置抗拒绝服务系统管理地址,设置格式为:*.*.*.*:28099(*.*.*.*表示外网管理IP地址)
用户名:
输入抗拒绝服务系统管理用户名
密码:
输入抗拒绝服务系统管理控制密码
设置:
输入抗拒绝服务系统管理地址、用户名和密码后,点击“设置”即可添加受监控抗拒绝服务系统
删除:
选中受监控抗拒绝服务系统后点击“删除”可取消该台抗拒绝服务系统的监控注: 双击流量记录下的列表,会出来这台抗拒绝服务系统的主机列表
1.2流量记录
设备信息:
显示管理地址、用户、状态
当前状态:
显示流量、连接
详细统计:
显示攻击频率
2、参数设置:
(图三)
设备查询间隔:
默认值60秒,即监控器对于设备进行查询的间隔时间为60秒查询一次,可根据客户需要调整数值
重复报警间隔:
默认值300秒,即当首次报警后如仍符合报警条件会在300秒后进行二次报警,可根据客户需要调整数值
主机显示数量:
默认值10个,即在主机列表中显示最大流量的前10台主机状态,可根据客户需要调整数值
流量统计方式:
表示进行流量报警设置时可选择IN、OUT或IN+OUT形式进行流量计算
连接统计方式:
表示进行连接报警设置时可选择TCP in、TCP out、TCP(TCP总连接)、UDP(总连接)、及TCP+UDP形式进行连接计算
SYSLOG服务器:
设置SYSLOG服务器报警方式,通过添加SYSLOG服务器地址,便于客户对日志信
息进行管理
3、报警设置:
(图四)
3.1报警条件
总流量报警:
指受监控抗拒绝服务系统的流量和,即所有受监控抗拒绝服务系统的流量(in流量和out流量和)达到此设置数值时,开始报警,单位为MBPS。该项如果不进行设置,则关闭此项,即视为不进行总流量监控。
总连接报警:
指受监控抗拒绝服务系统的连接和,即所有受监控抗拒绝服务系统的连接(in连接和out连接和)达到此设置数值时,开始报警,单位为个。该项如果不进行设置,则关闭此项,即视为不进行总连接监控。
单台设备流量报警:
指单台抗拒绝服务系统流量,即受监控抗拒绝服务系统中有一台流量(in流量和out流量和)达到此设置数值时,开始报警,单位为MBPS。该项如果不进行设置,则
关闭此项,即视为不进行单台设备流量监控报警,但会记录到日志。
单台设备连接报警:
指单台抗拒绝服务系统连接,即受监控抗拒绝服务系统中有一台连接(in连接和out连接和)达到此设置数值时,开始报警,单位为个。该项如果不进行设置,则关闭此项,即视为不进行单台设备连接监控。
主机流量报警:
指单一主机单台设备的流量,即受监控抗拒绝服务系统某一主机单台设备流量(in 流量和out流量和)达到此设置数值时,开始报警,单位为MBPS。该项如果不进行设置,则关闭此项,即视为不进行单一主机单台设备流量监控。
主机连接报警:
指单一主机的连接,即受监控抗拒绝服务系统某一主机连接数(in连接和out连接和)达到此设置数值时,开始报警,单位为个。该项如果不进行设置,则关闭此项,即视为不进行单一主机连接监控。
3.2攻击频率
SYN频率报警:
指当受监控抗拒绝服务系统上,每秒的SYN攻击包总数达到设定阀值时开始报警,单位为pps(包每秒)。该项如果不进行设置,则关闭此项,即视为不进行SYN 攻击频率监控报警
ACK频率报警:
指当受监控抗拒绝服务系统上,每秒的ACK攻击包总数达到设定阀值时开始报警,单位为pps(包每秒)。该项如果不进行设置,则关闭此项,即视为不进行ACK 攻击频率监控报警
UDP频率报警:
指当受监控抗拒绝服务系统上,每秒的UDP攻击包总数达到设定阀值时开始报警,单位为pps(包每秒)。该项如果不进行设置,则关闭此项,即视为不进行UDP 攻击频率监控报警
ICMP频率报警:
指当受监控抗拒绝服务系统上,每秒的ICMP攻击包总数达到设定阀值时开始报警,单位为pps(包每秒)。该项如果不进行设置,则关闭此项,即视为不进行
ICMP攻击频率监控报警
Frag频率报警:
指当受监控抗拒绝服务系统上,每秒的Frag分片攻击包总数达到设定阀值时开始报警,单位为pps(包每秒)。该项如果不进行设置,则关闭此项,即视为不进行Frag分片攻击频率监控报警
New-TCP频率报警:
指当受监控抗拒绝服务系统上,每秒新建立的TCP连接总数达到设定阀值时开始报警,单位为个。该项如果不进行设置,则关闭此项,即视为不进行TCP新连接频率监控报警
New-UDP频率报警:
指当受监控抗拒绝服务系统上,每秒新建立的UDP连接总数达到设定阀值时开始报警,单位为个。该项如果不进行设置,则关闭此项,即视为不进行UDP新连接频率监控报警
注:Udp是无连接的,此处的UDP连接是指,有一次交互传输的过程
3.3报警方式
(图五)