<br><br><div><span class="gmail_quote">14.09.07, <b class="gmail_sendername">Alexey S. Kuznetsov</b> <<a href="mailto:buster@kuznetsov.org.ua">buster@kuznetsov.org.ua</a>> написал(а):</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Привет всем!<br> У меня сложилась такая ситуация. Есть локалка в которой есть<br> пользователи. Все они идут в инет через шлюз, на котором и нужно<br> делать то, о чём я ща расскажу.<br> Бывает такое, что какой-то из клиентов подхватывает трояна, который
<br> начинает генерить в основном UDP трафик на левые, совершенно<br> случайные ИП адреса и этим забивать канал.<br> Собственно мне нужно распознавать такие вещи. Т.е., к примеру, раз в<br> 10 минут запускать скрипт, который будет анализировать есть ли флуд в
<br> сети или нет. Конечно мне лезут в голову мысли по анализу логов<br> tcpdump-а, но может есть какой-то более рациональный способ<br> определения для КАЖДОГО ИП адреса количество проходящих пакетов/сек<br> на текущий момент? может какой-нить SNMP?
<br><br> Кто что посоветует?<br><br></blockquote></div>Первое, что приходит в голову -- это модуль ядра ip_conntrack, после загрузки которого из файлика /proc/net/ip_conntrack можно выудить информацию о соединениях.<br>Правда, если мне не изменяет память, ttl для udp 60 секунд. Так что скрипт придётся запускать чаще чем раз в 10 минут
<br>