The London Perl and Raku Workshop takes place on 26th Oct 2024. If your company depends on Perl, please consider sponsoring and/or attending.
 / 
aLid-1.01
River stage zero No dependents
/ arpCheck

NAME

arpCheck - Controlla gli eventi 'flip flop' lanciati da arpwatch

SYNOPSIS

arpCheck INTERVALLO SOGLIA_EVT SOGLIA_RED FILE_IP_BLOCCATI NOTIFICA FILTRO [FREQ_MAIL] INTERFACCIA

DESCRIPTION

Intercetta gli eventi 'flip flop' lanciati da arpwatch. E' possibile personalizzare il comportamento dell'applicazione tramite le opzioni che mette a disposizione.

OPTIONS

INTERVALLO

E' il valore, in secondii, della finestra temporale da analizzare. Sia N il valore dell'intervallo allora la finestra temporale da analizzare e' [ TEMPO_CORRENTE - N , TEMPO_CORRENTE ].

SOGLIA_EVT

E' il numero massimo di volte che l'evento rintracciato può verificarsi all'interno della finestra temporale (INTERVALLO). L'ip sorgente, rintracciabile nel file di log, viene ritenuto responsabile. Al superamento della soglia aLid, in base alla configurazione, puo' bloccare l'ip sorgente o semplicemente notificare cio' che e' accaduto. Se un'ip viene bloccato, si tiene traccia anche del momento in cui cio' avviene, facendo riferimento al tempo universale (UTC) in secondi.

SOGLIA_RED

E' il numero di secondi nei quali un ip bloccato non puo' comunicare attraverso la macchina dove e' installato aLid. Quando la soglia di redenzione viene raggiunta l'ip bloccato viene sbloccato ( redenzione ). Il superamento e' calcolato nel seguente modo:

SE ( TEMPO_CORRENTE - TEMPO_BLOCCO > SOGLIA_RED ) 
	SBLOCCA L'IP BLOCCATO
ALTRIMENTI
	L'IP BLOCCATO RESTA BLOCCATO
FILE_IP_BLOCCATI

Serve per definire il path completo al file che contiene le informazioni sugli ip bloccati.

NOTIFICA

La tipologia di notifica adottata dallo script. Sono previste 3 tipologia di opzioni: MAIL, LOG, ALL.

MAIL

Consente di inviare una mail di notifica a tutti gli indirizzi specificati nel file /etc/aLid/emails

LOG

Consente di scrivere una riga nel file di log (/etc/aLid/log) dell'applicazione.

ALL

Comprende entrambe le tipologie di notifiche MAIL e LOG.

FILTRO

Specifica la politica da adottare riguardo gli ip rilevati. Le opzioni accettate sono: DROP e NODROP.

DROP

Blocca l'ip rilevato nel firewall, applicando un'apposita regola.

NODROP

Non esegue nessuna regola di drop nel firewall.

FREQ_MAIL

Specifica la frequenza di invio della mail di notifica in secondi. E' opzionale ed e' subordinata alla presenza delle opzioni MAIL o LOG.

INTERFACCIA

Specifica l'interfaccia che arpwatch va a monitorare.

EXAMPLES

arpCheck 300 2 7 /etc/aLid/ip_blocked_arpcheck all drop 1 eth1 Intervello 300 secondi, massimo 2 flip flop, 7 secondi prima della redenzione, ip_blocked_arpcheck e' il file degli ip bloccati, all come notifica, la frequenza minima di invio email e' un secondo, eth1 e' l'interfaccia monitorata da arpwatch.

FILES

/etc/aLid/aLid.conf File di configurazione dell'applicazione

REQUIREMENT

arpwatch Arpwatch - http://www.securityfocus.com/tools/142

DateTime DateTime - Perl Library of cpan community

SEE ALSO

sharedTail, aLid, aLid.conf

AUTHOR

Andrea Martire (andreamartire@gmail.com)

COPYRIGHT AND LICENSE

Copyright © 2010 Andrea Martire <andreamartire@gmail.com>. License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>. This is free software: you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law.

1 POD Error

The following errors were encountered while parsing the POD:

Around line 23:

Non-ASCII character seen before =encoding in 'può'. Assuming UTF-8