форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Учет трафика, статистика / Linux)
Изначальное сообщение		[ Отслеживать ]

"Обнаружение\логирование UDP атак."	+/–
Сообщение от fire002 (ok) on 06-Апр-14, 17:32
Собственно, ось дебиан. На ней запущены игровые сервера на разных портах. Частенько прилетают ддосы, если ntp и dns amplification закрыты еще до серверов, то обычный udp флуд долетает нормально, причем в основном не палится в логах ядра, если только не bad udp checksum Вобщем стоит зачада, чтоб не логировать все подряд, т.к это очень дохрена, включать логи только если канал загружен\перегружен. Логов много не нужно, нужно только узнавать на какой IP\Port летит траф и s.ip+s.port
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Обнаружение\логирование UDP атак."	+/–
Сообщение от Pahanivo (ok) on 06-Апр-14, 17:39
> только узнавать на какой IP\Port летит траф и s.ip+s.port вы полагаете что флуд идет с одного айпи? про ботнеты вы вообще в курсе? для подобных вещей есть софтины - гугля про них знает
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Обнаружение\логирование UDP атак."	+/–
	Сообщение от fire002 (ok) on 06-Апр-14, 18:14
	>> только узнавать на какой IP\Port летит траф и s.ip+s.port > вы полагаете что флуд идет с одного айпи? про ботнеты вы вообще > в курсе? > для подобных вещей есть софтины - гугля про них знает Нет, не полагаю. Знаю что ипов много, не исключен спуф. Вероятно я не совсем верно описал, мне нужен софт который определяет такие вот аномалии, когда на сыпется очень много трафа на IP\Port
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Обнаружение\логирование UDP атак."	+/–
	Сообщение от Pahanivo (ok) on 07-Апр-14, 13:19
	snort и еже с ним http://serverfault.com/questions/269556/udp-flood-attack-lin... вот тут пасоны айпэтаблз юзаю - тоже по логам можно увидеть ... гугл великая сила ))
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Обнаружение\логирование UDP атак."	+/–
Сообщение от erera22 (ok) on 07-Апр-14, 21:15
Вариант номер раз. Хороший. Уведомить о возможном паразитном трафике своего провайдера и попросить привязать свои адреса (порты коммутатора) к его системе мониторинга. При достижении определенных лимитов высылать уведомление,  либо применить автоматом некие меры. И да, провайдеру быть готовым к подобной нагрузке тоже выгодно заранее. Если это не жесткий blackhole'р, которому насрать. Вариант номер два. Убогий. Использовать системные утилиты, начиная от обработки данных с netstat (/proc/net/udp) или данных фаерволла, и ... Только толку-то? Если нагрузка на сервер будет значительной, фильтровать придется на вышестоящих устройствах.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Обнаружение\логирование UDP атак."	+/–
	Сообщение от Pahanivo (ok) on 08-Апр-14, 09:12
	> Вариант номер два. Убогий. > Использовать системные утилиты, начиная от обработки данных с netstat (/proc/net/udp) > или данных фаерволла, и ... Только толку-то? Если нагрузка на сервер > будет значительной, фильтровать придется на вышестоящих устройствах. дак товарисчу и надо лишь поймать факт - думаю всем понятно что фильтровать дос на конечной точке безсмысленно )
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Обнаружение\логирование UDP атак."	+/–
	Сообщение от fire002 (ok) on 08-Апр-14, 15:59
	> дак товарисчу и надо лишь поймать факт - думаю всем понятно что > фильтровать дос на конечной точке безсмысленно ) Именно, фильтровать все это дело будет другое оборудование. Важем сам факт атаки, d\sIP + d\sPORT + размер пакетов, тоже как вариант. 2erera22 -- провайдеру собственно вообще похер, как складывается впечатление, они даже флоу не делают. Прилетает 10гбит, им пнх.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема