[Comm] выявление ФЛУДА

[Comm] выявление ФЛУДА

[Alexey S. Kuznetsov]

Привет всем!
 У меня сложилась такая ситуация. Есть локалка в которой есть
 пользователи. Все они идут в инет через шлюз, на котором и нужно
 делать то, о чём я ща расскажу.
 Бывает такое, что какой-то из клиентов подхватывает трояна, который
 начинает генерить в основном UDP трафик на левые, совершенно
 случайные ИП адреса и этим забивать канал.
 Собственно мне нужно распознавать такие вещи. Т.е., к примеру, раз в
 10 минут запускать скрипт, который будет анализировать есть ли флуд в
 сети или нет. Конечно мне лезут в голову мысли по анализу логов
 tcpdump-а, но может есть какой-то более рациональный способ
 определения для КАЖДОГО ИП адреса количество проходящих пакетов/сек
 на текущий момент? может какой-нить SNMP?

 Кто что посоветует?
  

-- 
Sincerely,
Alexey S. Kuznetsov
AK2351-RIPE

Re: [Comm] выявление ФЛУДА

[ABATAPA]

14 сентября 2007 г. Alexey S. Kuznetsov написал:
> Конечно мне лезут в голову мысли по анализу логов
>  tcpdump-а, но может есть какой-то более рациональный способ
>  определения для КАЖДОГО ИП адреса количество проходящих пакетов/сек
>  на текущий момент? может какой-нить SNMP?
Интересно, ОТКУДА Вы хотите получать информацию по SNMP. У вас там в сети 
везде управляемые коммутаторы? Да и то, по SNMP с них можно будет снять 
только _общее_ число прошедших в том или ином направлении байт.
Думаю, Вам помогут portsentry и иже с ним, или iptables с ipt_*limit 
(например,  ipt_hashlimit).


-- 
ABATAPA

Re: [Comm] выявление ФЛУДА

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 1471 bytes --]

Alexey S. Kuznetsov пишет:
> Привет всем!
>  У меня сложилась такая ситуация. Есть локалка в которой есть
>  пользователи. Все они идут в инет через шлюз, на котором и нужно
>  делать то, о чём я ща расскажу.
>  Бывает такое, что какой-то из клиентов подхватывает трояна, который
>  начинает генерить в основном UDP трафик на левые, совершенно
>  случайные ИП адреса и этим забивать канал.
>  Собственно мне нужно распознавать такие вещи. Т.е., к примеру, раз в
>  10 минут запускать скрипт, который будет анализировать есть ли флуд в
>  сети или нет. Конечно мне лезут в голову мысли по анализу логов
>  tcpdump-а, но может есть какой-то более рациональный способ
>  определения для КАЖДОГО ИП адреса количество проходящих пакетов/сек
>  на текущий момент? может какой-нить SNMP?
>
>  Кто что посоветует?
>   
man iptables на предмет connlimit

-- 
WBR,
Dubrovskiy Vyacheslav


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3249 bytes --]

Re: [Comm] выявление ФЛУДА

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 811 bytes --]

Slava Dubrovskiy пишет:
> Alexey S. Kuznetsov пишет:
>   
>> Привет всем!
>>  У меня сложилась такая ситуация. Есть локалка в которой есть
>>  пользователи. Все они идут в инет через шлюз, на котором и нужно
>>  делать то, о чём я ща расскажу.
>>  Бывает такое, что какой-то из клиентов подхватывает трояна, который
>>  начинает генерить в основном UDP трафик на левые, совершенно
>>  случайные ИП адреса и этим забивать канал.
>>     
А UDP вообще запретить клиентам...

-- 
WBR,
Dubrovskiy Vyacheslav


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3249 bytes --]

Re: [Comm] выявление ФЛУДА

[andriy]

Slava Dubrovskiy пишет:
> Slava Dubrovskiy пишет:
>   
>> Alexey S. Kuznetsov пишет:
>>   
>>     
>>> Привет всем!
>>>  У меня сложилась такая ситуация. Есть локалка в которой есть
>>>  пользователи. Все они идут в инет через шлюз, на котором и нужно
>>>  делать то, о чём я ща расскажу.
>>>  Бывает такое, что какой-то из клиентов подхватывает трояна, который
>>>  начинает генерить в основном UDP трафик на левые, совершенно
>>>  случайные ИП адреса и этим забивать канал.
>>>     
>>>       
> А UDP вообще запретить клиентам...
>   
Думаю ненадо - SIP-телефония не пойдет.