Форум Сайтостроение Администрирование серверов

Методика отлова http флудеров на машине с nat под unix like OS с помощью tcpdump!

kostich · 2008-03-05T04:59:40.0000000Z

Вынес в отдельный топик. Zaqwr: хранится, но доступа к ней у меня нет, я бывший сотрудник, доступ к натам есть =) просто ещё рас, ковыряться в статистике к примеру я не смогу, в реальном времени ещё бы смог помочь, так как в домовой сети всегда все друг друга знают =) и думаю можно было попытаться получить самого бота для дальнейшего "изучения" когда флудит, то это сразу видно... могу подсказать как слегка облегчить процесс и попросить наших программеров написать небольшой скриптик помогающий разгребать tcpdump. но лично от себя могу предложить пятиминутную зарисовку только что сделанную с особой извращенностью на обычном sh под фрей... проверял на 6.x Ищем синфлудера: tcpdump -i em0 -c 5000 -n dst port 80|grep "(0)"|grep ": S "|awk -F " " '{print $3,$5}'|awk -F "[.: ]" '{printf "%s.%s.%s.%s %s.%s.%s.%s\n", $1,$2,$3,$4,$6,$7,$8,$9}'|sort|uniq -c|sort -r |more Cверху будут те кто активно посылали синпакеты на 80 порт какого-то конкретного хоста. 1342 59.10.152.86 x.x.x.x 244 62.175.82.52 x.x.x.x Если в параметрах tcpdump изменить количество пакетов (опция -c) на более большее, то можно получить и вот так: 4972 59.10.152.86 x.x.x.x 1945 81.174.49.157 x.x.x.x 981 62.175.82.52 x.x.x.x 471 58.147.40.209 x.x.x.x 394 84.84.184.122 x.x.x.x 390 74.72.174.140 x.x.x.x Время исполнения tcpdump у меня было меньше минуты... в моем случае 20000 пакетов засосало очень быстро. Сортировка и подсчет совпадений производится по паре src ip/dst ip, что поднимает в выводе тех кто слал много син пакетов. Аналогично можем выяснить адрес цели: tcpdump -i em0 -c 5000 -n dst port 80|grep "(0)"|grep ": S "|awk -F " " '{print $3,$5}'|awk -F "[.: ]" '{printf "%s.%s.%s.%s\n", $6,$7,$8,$9}'|sort|uniq -c|sort -r |more естественно выдаваемую информацию надо перевроверять, а то может показаться что абоненты флудят хосты яндекса, гугля и т.д... первый пример выдает более корректно. pps. за отжыг с sh и awk прошу простить... сплю...

223

kostich

11 марта 2008, 05:00

#11

qwartyr:
вы не правы, все зависит от конфигурации, можно включать модуль для отдельных виртаульных хостов, можно и глобально.

в юзерспейсе достаточно ограниченный инструментарий. ни один модуль апача, используя только функции работы с сокетами, не позволит получать статистику по синфлуду в реальном времени.

проверенная ддос защита (http://ddos-protection.ru) -> http://ddos-protection.ru (http://ddos-protection.ru), бесплатный тест, цена от размера атаки не зависит.

qwartyr

11 марта 2008, 06:48

#12

kostich:
в юзерспейсе достаточно ограниченный инструментарий. ни один модуль апача, используя только функции работы с сокетами, не позволит получать статистику по синфлуду в реальном времени.

Согласен, SYN-state мы так не увидим.

профессиональное администрирование серверов (http://www.unixsupport.ru) отзывы (http://www.free-lance.ru/users/qwartyr/opinions/) на free-lance.ru

Open AI тестирует память для ChatGPT

Все что нужно знать о DDоS-атаках грамотному менеджеру

Методика отлова http флудеров на машине с nat под unix like OS с помощью tcpdump!