Pytanie o soft do statystyk sieci

[Jacek Konieczny]

On 23/11/2021 15:42, Jacek Osiecki wrote:
> Wiadomość napisana przez Jacek Konieczny <jajcus at jajcus.net> w dniu 23.11.2021, o godz. 15:22:
>>
>> On 23/11/2021 14:55, Jacek Osiecki wrote:
>>> Cześć,
>>> trochę nie wiem gdzie pytać, a google zwracają sporo danych ale nie na temat…
>>> Ostatnio mój serwer jest ostro atakowany na różne porty i adresy.
>> Nie tylko twój serwer. Cały internet. To już po prostu taki szum, jak microwave background radiation w kosmosie.
> 
> Źle się wyraziłem. Nie jakieś hakierskie ataki, tylko wredne DDoSy.
> 
> Nie wiem czy się czymś naraziłem, czy też coś się dzieje…
> Bo jeszcze niedawno nic takiego nie miało miejsca.
> Jakoś w wakacje jednemu klientowi jakieś gówno siadło na stronie i od tego czasu NON-STOP napieprza po kilka tysięcy requestów na sekundę.
> A od tygodnia zaczynam zaliczać konkretne DDoSy na różne inne rzeczy.

> Np. widzę że jakiś syf zaczyna napierniczać z prędkością światła w port FTP, praktycznie wysycając łącze serwera.

To faktycznie gorsza sprawa. Zwykle takie rzeczy to się potem załatwia u 
ISP (ale raczej jak nie jesteś klientem indywidualnym).

Ja próbowałem używać ulogd2, nawet nie do DDOSów, ale żeby mieć dane o 
wszelkich połączeniach na potrzeby ewentualnej analizy post-mortem. 
Zainstalowałem logera na głównych routerach, żeby logował wszelkie 
strumienie TCP i UDP do bazy (na innej maszynie)… okazało się, że to nie 
wydala nawet przy naszym normalnym ruchu, nawet bez żadnego DoSa i 
bardzo musiałem ograniczyć regułki tylko do niektórych pakietów.

Więc ulogd2 nie polecam.


Ale jeśli interesuje cię tylko ilość trafień, pewnie ipset da radę.

Jedna regułka z --match-set może aktualizować liczniki dla dowolnej 
ilości wpisów w secie i możesz zrobić jeden ipset typu 'bitmap:port' 
zawierający wszystkie porty (0-65535). Jedna regułka żeby aktualizować 
liczniki dla wszystkich portów.

ipset create allports bitmap:port range 0-65535 counters
ipset add allports 0-65535
iptables -I INPUT -m set --match-set allports dst


root at jajco:~# ipset list allports | grep -v 'packets 0 bytes 0$' | tail
54086 packets 7 bytes 432
54094 packets 7 bytes 434
54104 packets 7 bytes 441
54116 packets 7 bytes 439
54146 packets 8 bytes 484
54192 packets 4 bytes 326
55284 packets 1 bytes 885
59096 packets 1 bytes 185
59398 packets 5 bytes 596
59462 packets 4 bytes 427

Pozdrawiam,
Jacek