[Comm] выявление ФЛУДА

Aleksandr Boltris =?iso-8859-1?q?ua2fgb_=CE=C1_gmail=2Ecom?=
Пт Сен 14 09:07:36 MSD 2007


14.09.07, Alexey S. Kuznetsov <buster на kuznetsov.org.ua> написал(а):
>
> Привет всем!
> У меня сложилась такая ситуация. Есть локалка в которой есть
> пользователи. Все они идут в инет через шлюз, на котором и нужно
> делать то, о чём я ща расскажу.
> Бывает такое, что какой-то из клиентов подхватывает трояна, который
> начинает генерить в основном UDP трафик на левые, совершенно
> случайные ИП адреса и этим забивать канал.
> Собственно мне нужно распознавать такие вещи. Т.е., к примеру, раз в
> 10 минут запускать скрипт, который будет анализировать есть ли флуд в
> сети или нет. Конечно мне лезут в голову мысли по анализу логов
> tcpdump-а, но может есть какой-то более рациональный способ
> определения для КАЖДОГО ИП адреса количество проходящих пакетов/сек
> на текущий момент? может какой-нить SNMP?
>
> Кто что посоветует?
>
> Первое, что приходит в голову -- это модуль ядра ip_conntrack, после
загрузки которого из файлика /proc/net/ip_conntrack можно выудить информацию
о соединениях.
Правда, если мне не изменяет память, ttl для udp 60 секунд. Так что скрипт
придётся запускать чаще чем раз в 10 минут
----------- следующая часть -----------
Вложение в формате HTML было удалено...
URL: <http://lists.altlinux.org/pipermail/community/attachments/20070914/73bc5a48/attachment-0002.html>


Подробная информация о списке рассылки community