SYN Fooding공격을 감지하여 메일로 받기

고의가 아닌 클라이언트 컴퓨터의 플러그인 문제등으로 과다 패킷을 생성하여 SYN_Flooding 공격으로 오해할 경우도 있음을 참고해야 한다

#!/usr/bin/perl

$TASK = `netstat -na|grep SYN_RECV`;
$HOSTNAME = `/bin/hostname`;
$TO_MAIL = 'hkbyun@simplexi.com';
$SUBJECT = "$HOSTNAME SYN_FLOODING 공격 감지";
$MAIL_PROGRAM = "/usr/sbin/sendmail";

if ($TASK) {
$TASK_CONFIRM = `netstat -na|grep SYN_RECV|wc -l`;

if ($TASK_CONFIRM > 20) {
`/etc/rc.d/init.d/httpd stop`;
`/etc/rc.d/init.d/httpd start`;
$HTTP_DONE = "httpd was Refreshed!!n";
}

open(MAIL, "|$MAIL_PROGRAM -t");
print MAIL "To: $TO_MAIL n";
print MAIL "Subject: $SUBJECT nn";
print MAIL "$HOSTNAME Server is Attaked  by SYN_Flooding!!!n";
print MAIL "SYN_Flooding Process Number :$TASK_CONFIRM n";
print MAIL "$HTTP_DONEn";
print MAIL "$TASK n";
close(MAIL);
} 

 

 

[출처] SYN_Flooding 공격을 감지|작성자 소룡매냨