Pytanie o soft do statystyk sieci

Jacek Osiecki josiecki at silvercube.pl
Tue Nov 23 15:42:16 CET 2021


Wiadomość napisana przez Jacek Konieczny <jajcus at jajcus.net> w dniu 23.11.2021, o godz. 15:22:
> 
> On 23/11/2021 14:55, Jacek Osiecki wrote:
>> Cześć,
>> trochę nie wiem gdzie pytać, a google zwracają sporo danych ale nie na temat…
>> Ostatnio mój serwer jest ostro atakowany na różne porty i adresy. 
> Nie tylko twój serwer. Cały internet. To już po prostu taki szum, jak microwave background radiation w kosmosie.

Źle się wyraziłem. Nie jakieś hakierskie ataki, tylko wredne DDoSy.

Nie wiem czy się czymś naraziłem, czy też coś się dzieje…
Bo jeszcze niedawno nic takiego nie miało miejsca.
Jakoś w wakacje jednemu klientowi jakieś gówno siadło na stronie i od tego czasu NON-STOP napieprza po kilka tysięcy requestów na sekundę.
A od tygodnia zaczynam zaliczać konkretne DDoSy na różne inne rzeczy.

>> Powoli wdrażam jakieś plany ratunkowe, ale cholernie mi brakuje sensownego narzędzia diagnostycznego.
> 'nmap', 'netstat -nlvp' – patrz co masz otwarte z zewnątrz i załóż, że _wszystko_ będzie atakowane. Niepotrzebne rzeczy zablokuj firewallem potrzebnych pilnuj, żeby dziur nie było.

To wiem, natomiast potrzebuję wiedzieć jeśli coś się przebiło przez firewall serwerowni - wtedy trzeba zrobić jakiś dodatkowy ruch ręcznie.
Ale tak właśnie mi podsunął się dużo lepszy pomysł - seria regułek iptables na wejściu i badanie liczników.
Tylko to niestety nie wykryje ruchu na port którego nie przewidzieliśmy...

>> Przydałoby mi się coś, co by mogło pokazać jak np. w przeciągu ostatnich 30 sekund wyglądała średnia ilość pakietów na sekundę i bitów na sekundę z podziałem na poszczególne lokalne adresy IP i porty. Nijak nie widzę czegoś takiego, jakoś sobie radzę odpalając na szybko iptraf… no ale nie tędy droga.
>> Generalnie to wręcz przydałoby mi się to w jakichś plikach, które mógłbym monitorować (np. nagiosem) i rzucać alertami…
> 
> I w czym miałoby to pomóc. Informacje może faktycznie ciekawe, ale w dzisiejszych czasach niewiele z tego wynika.

Np. widzę że jakiś syf zaczyna napierniczać z prędkością światła w port FTP, praktycznie wysycając łącze serwera.
Wtedy trudno - włażę na stronę serwerowni i ręcznie dopisuję blokadę portu 21. Lepiej martwy FTP niż cały serwer.
Zdaje się że nawet jest do tego API, więc mogę ciut więcej pokombinować...

Pozdrawiam,
— 
Jacek


More information about the pld-devel-pl mailing list