Asa*_*een 5 networking logging tcpdump
我基本上想要的是每 3 天将所有 tcpdump 捕获的数据包写入一个文件。所以基本上 tcpdump 应该在第 1 天运行 24 小时并将输出写入 Day1.log 和类似的 Day2 和 Day3。在第 4 天,它应该重复并将日志再次写入 Day1。这基本上是为了检查我的服务器上的 DDoS 尝试并找出攻击类型,包括攻击者的 IP,因为在过去 7 天我的机器被 DDoS 攻击,我希望它再次发生。我知道它是由一些 cronjobs 完成的,但我需要将实际命令放在那里?
我还想知道哪个 IP 以 mb/sec 为单位的最大输入量,因为我的流量很高,因此我几乎需要 6 个小时才能继续搜索这些文件以查找攻击者的 IP。那么在分析这些文件的过程中,WireShark 中是否有任何内容可以说明 IP 对我的服务器进行了多少 mb/s 的输入?如果没有,我应该如何找到它?
编辑: --------------------------------------------
你们也可以自由发表您的反击想法。我所需要的只是找到攻击者的 IP、他发送的数据包数据以及以 mb/s 为单位的输入到我的服务器。我的客户不会产生超过 300kb/s 的输入,所以如果我们设置一个过滤器来捕获超过 1mb/s 的输入,我们可以捕获它。
bre*_*ent 15
它就在手册页中,tcpdump有 -G,
If specified, rotates the dump file specified with the -w option every
rotate_seconds seconds. Savefiles will have the name specified by -w
which should include a time format as defined by strftime(3). If no
time format is specified, each new file will overwrite the previous.
因此,tcpdump -i eth0 -s 65535 -G 86400 -w /var/log/caps/%F.pcap将写入 /var/log/caps/%F.pcap (其中 %F 将是 2012-05-10、2012-05-11、2012-05-12 等)。请记住,它会从您开始封顶之日起 24 小时轮换一次,因此从技术上讲,除非您在午夜运行,否则从技术上讲它不是每天。
我并不是说您打算做的事情是个好主意,只是说这是您要求的解决方案。
我建议不要记录所有流量,而是建议: 监控发送到服务器的数据包数量。如果超过某个阈值,记录几个 1000 个数据包,然后等待更长的时间。
该数据包跟踪应包含大量可用于分析的信息。此外,当一切正常时,它不会对您的服务器施加太多额外负载。您可以使用以下编写的 bash 代码作为起点(screen例如,可以从 开始):
interface=eth0
dumpdir=/tmp/
while /bin/true; do
pkt_old=`grep $interface: /proc/net/dev | cut -d : -f2 | awk '{ print $2 }'`
sleep 1
pkt_new=`grep $interface: /proc/net/dev | cut -d : -f2 | awk '{ print $2 }'`
pkt=$(( $pkt_new - $pkt_old ))
echo -ne "\r$pkt packets/s\033[0K"
if [ $pkt -gt 5000 ]; then
echo -e "\n`date` Under attack, dumping packets."
tcpdump -n -s0 -c 2000 -w $dumpdir/dump.`date +"%Y%m%d-%H%M%S"`.cap
echo "`date` Packets dumped, sleeping now."
sleep 300
fi
done
随意调整它以满足您的需求。
| 归档时间: |
|
| 查看次数: |
12754 次 |
| 最近记录: |