[Comm] выявление ФЛУДА

[Slava Dubrovskiy]

Alexey S. Kuznetsov пишет:
> Привет всем!
>  У меня сложилась такая ситуация. Есть локалка в которой есть
>  пользователи. Все они идут в инет через шлюз, на котором и нужно
>  делать то, о чём я ща расскажу.
>  Бывает такое, что какой-то из клиентов подхватывает трояна, который
>  начинает генерить в основном UDP трафик на левые, совершенно
>  случайные ИП адреса и этим забивать канал.
>  Собственно мне нужно распознавать такие вещи. Т.е., к примеру, раз в
>  10 минут запускать скрипт, который будет анализировать есть ли флуд в
>  сети или нет. Конечно мне лезут в голову мысли по анализу логов
>  tcpdump-а, но может есть какой-то более рациональный способ
>  определения для КАЖДОГО ИП адреса количество проходящих пакетов/сек
>  на текущий момент? может какой-нить SNMP?
>
>  Кто что посоветует?
>   
man iptables на предмет connlimit

-- 
WBR,
Dubrovskiy Vyacheslav

----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : smime.p7s
Тип     : application/x-pkcs7-signature
Размер  : 3249 байтов
Описание: S/MIME Cryptographic Signature
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20070914/513e65e3/attachment-0002.bin>