Ahoj vespolek,
Zbyněk Burget wrote:
neresil nekdo z vas analyzu poctu vygenerovanych spojeni per IP v siti?
Nejhezci by bylo to nejak vytahnout z natd - ten to ve syvch tabulkach
bude mit hezky vsechno poznaceno - a to jak pro TCP provoz, tak pro UDP.
Jde o to, nejakym zpusobem odchytit magora, ktery na bezdratove siti
pusti torrent snazici se otevrit stovky az tisice spojeni za sekundu. Az
jsem vyzkousel kde co, mam na svych AP (Mikrotik Routerboard) i nejake
automaty, ktere podezrelou stanici proste vykopnou ze site a podaji
zpravu o tom, co udelaly, ale nefunguje to spolehlive (obcas nevykopne,
obcas vykopne, koho nema) a zbytecne to zatezuje CPU v tom AP. Jediny
spolehlivy zpusob, jak takoveho klienta najit, stale zustava rucni
prace, kdy podle provozu na AP odhadnu, kdo by to tak mohl delat a pak
na routeru spustim trafshow (nastavba nad tcpdump), kde vidim, kolik
spojeni je od daneho klienta v danem okamziku navazano.
ja osobne bych na to zkusil pouzit netflow. Na vhodnem miste v siti bych
sbiral flow a potom je zpracoval.
Podivej se na nfsen. nfcapd je kolektor, ktery data sbira a nfdump umi z
netflow delat primo nejake zakladni statistiky. Takze neni problem najit
IP adresu s abnormalne velkym poctem relaci.
Jedina drobna chybka je, ze to neni on the fly, ale se zpozdenim, ktere
si vsak sam muzes zvolit.
Nebo si muzes napsat vlastni kolektor, ktery to bude delat za behu.
Nevi nekdo o nejakem analyzeru provozu, ktery by tohle zvladnul? Pri
hledani (neceho uplne jineho) jsem objevil security/bro - ale po letmem
zacteni do jejich homesite jsem naznal, ze chodit na vrabce s
mezikontitentalni jadernou raketou nebude to nejrozumnejsi reseni.
Na svem barakovem smerovaci netflow data sbiram na vnitrnich rozhrani,
abych mel data pred natem. A z toho uz pripadne zlobice umim vysapat.
I.
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
