论坛风格切换切换到宽版
发帖 回复
返回列表
  • 1592阅读
  • 4回复

[问题求助]有没有脚本高手,给我演示如何自动监控路由器的ip accounting [复制链接]

 上一主题 下一主题
离线hackerstudy.
初中三年级
 
发帖
2066
C币
-193385
威望
377
贡献值
1
银元
-2
铜钱
4603
人人网人气币
0
只看楼主 倒序阅读 使用道具 楼主  发表于: 2009-05-01
目标:现在很多病毒,都是使用windows的漏洞,植入windows,然后向大量的IP连接,正常程序(DNS,代理服.务器等)同时连接数不过几十,而病毒一般几百,这是通过cis.co路由器的clear .ip accounting,show ip accoun.ting得到的。如果有数台机器中病毒,则路由器就假死了!因此根据这一特征,我想做如下自动telnet、解析与监测脚本,每十分钟执行一下,然后如.果解析连接数超过一百,则执行我自己的通知程序(snmp agent,短信,邮件,其他监控代理等)通知路由器管理员。我想.的具体步骤如下:虚拟主机
1,.模拟用户telnet到cisco路由器上,          婚庆
telnet 192..168.1.1              乙肝
user:
password:
enable
clear ip. accounting    健康
s.how ip accounting.
然后一大堆输出.,全是.关于近端IP,远端IP和当时连接的包大小。.
2,自动把这些重定向到一个文件,如>;1.txt。1.txt如..下:             电子
CRT01#cl.ear ip accoun电影
CRT01#sh ip. accoun    健康
   Sourc.e           Destination              Packets               By.tes.
192.168.113.7    192.168.135.243                  7   .    .          588.
192.168.116.53   192.168.2.65   .                  1          .        48[成人用品]
192.168.116.53.   192.168.235.169   .               1                  48电脑
192.168.102.241  192.168.104.251                  1                .  62..
192.168..119.21   192.168.105.14         .         44                6888            杀毒
192.168.119.55   192.168.117.50   .                6           .     1173             汽车
192.168.104.30   .192.1.68.105.23                   1                  40(广告)
192.168.119..21.   192.168.156.244                  7                2383.
192.168.115.30   192.168.105.14          .      . 169               22427           建材
192.168.23.5.113  .192.168.156.11                   1                  48教育
192.168.116.53   192..168.237.161                  1            .      48.
192.168.102.251  192.168.104.251  .                1                  7.3             电子
192.168.235.113  192.168.116.225                  1           .       4.8.
192.168.119.55   192.168.117.36                   .4.                 232    健康
192.168.112..12   192.168.117.29 .                  4                 544学习
192.168.117.29   192..1.68.112.12                   4                2184             电子
192.168.117.14   .192.168.116.25                   2   .               80--- 印刷
192..168.132.251  192.168.117.29                   1           .       40(广告)
192.168.99.21    1.92.168.117.27                .   6                 396            杀毒
192.1.68.98.23    192.168.117.29                   1 .                 40--- 印刷
192.168.104.251  192.168.133..8       .             3                 505学习
1.92.168.133.8    192.1.68.104.251                  3                 530[成人用品]
192.168.113.7    192.168.117.29.              .     4                1888           鲜花
192.168.117..14   192.168..135.222                  1                  40.
192.169.46.1.07   192.168.117..29                   8                6751    外汇
192.168.117.21   192.168.138.199 .      .           1                 213(        游戏          )
192.168.233..135 . 192.168.116.53                   1                  56<性病>
192.168.11.3.61   192.168.117.22                  20.                4071             电子
192.168.116.53   192.168.234.155.                  1                  4.8教育
192.168.113.56   192.168.117.14                  17               .  71.8外贸
1.92.168.119.53   192.168..105.25                   1                  60           鲜花
192.168.99.11    192.168.234.182                 . 2 .                103.
192.168.119.53   192.168.104.28            .       1                 . 60电脑
192.1.68.243.160  192.168.117..17                   2                  80教育
192.168.104.251  192.168.160.10         .       .   1                 147外贸
192.168.11.9.53   192.168.116..9                    1                  60              乙肝
   Source .    .      Destination              Packets               Bytes[成人用品]
192..168.113.46 .  192.168.117.21                  27                1080服务器
192.168.113.82   192.168.117.22                  3.0             .   1870电影

3.,cut -b -15 1.txt|so.rt |uniq -c |so.rt -nr|cat,意思是把1.txt的每行的前15个字符截取下来(.cut -b -15 1.txt),排序(sort ),统计每个ip的连接行数(iq -c),再逆序排序(sort -nr),再输出。这一步执行的输出如下:电脑
   24  192.16.8.116.53--------------彩票
     24  192.16.8.104.25.
     21  192.168.11.7.14(广告)
     16  192.16.8.235.11[成人用品]
    . 11  192.168.113.13             电子
  .   10    Source      虚拟主机
     10 . 192.168.117.21    美容
      8  19.2.168.117.29    美容
      8  192.168.1.03.13    外汇
      .7  192.168.113.7     外汇
      7  192.16.8.112.12
      6  192.16.8.102.22电脑
      5  192.1.68.98.77     外汇
      5  192.168.1.38.19          婚庆
      5.  192.168.111.15          婚庆
  .    4  192.168.133.72--- 印刷
      4  192.168.113.20.[成人用品]
      4  192.1.68.112.20    外汇
   .   3  192.168.132.3 .
      3.  192.168.119.53            杀毒
      3  192.168.11.5.20域名
      3  192.1.68.113.53.
     . 3  192.168.113.18.
      3  192.168.1.13.15<性病>
    .  3  192.168.113.10(        游戏          )
   .   3  192.168.112.14    外汇
      3 . 192.168.111.11    外汇
      3  192.1.68.104.24              乙肝
      3  192.168.103.30.           女人
      3  192.1.68.102.19域名
   .   3  192.168.102.10虚拟主机
      3  1.72.24.67.75  教育
      3  1.72.16.4.32              女人
      2 Passw.ord: .
.     2 Accounting thre(        游戏          )
      2  192.1.68.99.11 [成人用品]
.     2  192.168.98.43 .
      2  192.168..156.22教育
4,然后把3的输出的每一.行的第一列与100相比较,如果第一列大于.100,则执行一个操作系统命令,同时把该行的第二列作为命令的参数,如"sendmail test@test.com 192.168.116.53",这样就可.以通知路由器管理员了。            杀毒
5,仿用户t.elnet的脚本如下:外贸
(
sleep 1;\
echo "o.racle";\ 虚拟主机
sleep 1;\
echo "1234.56";\ 电影
sleep 1;\
echo "df -k";\
sleep 1;\
sleep 1;\
echo "exit";\
sleep 1)|telnet. 1.92.168.114.56>;1.txt             电子

6,请高手把我的意图和.我.所了解的脚本串成一个完整的脚本,借我学习一下。同时,也请大家指出我这种方法的不足之处。电影

评价一下你浏览此帖子的感受

精彩
感动
搞笑
开心
愤怒
无聊
灌水
回复
举报
分享到 淘江湖 新浪 QQ微博 QQ空间 开心 人人 豆瓣 网易微博 百度 鲜果 白社会 飞信
离线regiet.
初中三年级
发帖
2169
C币
-633738
威望
385
贡献值
2
银元
-3
铜钱
4920
人人网人气币
0
只看该作者 沙发  发表于: 2010-04-13
Re:有没有脚本高手,给我演示如何自动监控路由器的ip
赶紧顶,否则又沉了。
回复
举报
离线绿豆宝贝.
初中二年级
发帖
1876
C币
-235812
威望
366
贡献值
1
银元
-3
铜钱
4235
人人网人气币
0
只看该作者 板凳  发表于: 2010-04-13
Re:有没有脚本高手,给我演示如何自动监控路由器的ip
你已經把大部分的命令打好了,為什么不自己寫一個shell那?
回复
举报
离线ayumilove.
初中三年级
发帖
2035
C币
-152549
威望
351
贡献值
1
银元
0
铜钱
4548
人人网人气币
0
只看该作者 地板  发表于: 2010-04-13
Re:有没有脚本高手,给我演示如何自动监控路由器的ip
我串不起来啊,^_^。所以想请这方面的高手指引一下啊。我是java解析,也是很快的,但是我喜欢shell的。^_^
回复
举报
离线tks1000.
初中三年级
发帖
2165
C币
-234974
威望
412
贡献值
1
银元
-4
铜钱
4945
人人网人气币
0
只看该作者 4楼 发表于: 2010-04-13
Re:有没有脚本高手,给我演示如何自动监控路由器的ip
你推半天我猜大概也沒有什麼解答 ~
如果你愛用 shell , expect 這個東西你要弄熟,因主要你登入 router 後
會有許多互動性的操作,我只給你一個固定的範本,其他你就 man expect
較快,會用了,你會愛上他的...但別愛上我  
#!/usr/bin/expect

spawn telnet IP  # 連到那個 IP

expect Password:   # Cisco 會出垷這個提示符號,你要去套這個 String

send "Passwd_here"\r" # expect 看到這個符號後送出 passwd

expect r2620>;        # 這是我的例子,你登入後看到什麼對應改

send "en\r"             # 送出 enable

expect Password:      # 看到 Password: 符號後送出

send "enable_password_here\r" # 你的 en passwd

expect r2620#           # 同理,看到 這個 prompt

send "show ip account \r"  # 送出 指令

send "                                                                                                  \r"  #這裏我不想弄的太?#125;雜,就一直丟空白鍵...你自己看看丟幾個較合適

expect r2620#    # 提示符

send "quit\r\r"    # 退出

send "\r"
复制代码

這些結果都是標準輸出的 (stdout) , 所以你可以存出如 0755 mode
./cisco.account | sort |uniq |xxx| ...
expect 很簡單,但常人都想的太難,你可以再把這個 sample 做得更好
例如,更新 access-list ..,備份 running-config ...等
至於你要做 sort/uniq 等你自己去想了,我只秀你不了解的地方
回复
举报
发帖 回复
返回列表
快速回复
限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
上一个 下一个