[sage] Traffic protokollieren

Florian Streibelt florian.streibelt at guug.de
Fri May 22 15:36:36 CEST 2009


-----BEGIN PGP SIGNED MESSAGE-----
Hash: RIPEMD160

'Ulf Volmer' schrieb am 22.05.2009 15:20:
> dann nimm doch -s 0
> 
> SCNR.
;)

> 
> Wieso hat eigentlich niemand ntop erwähnt?

Und warum hat keiner iptables erwähnt?

tcpdump speichert ja auch noch den Traffic, ob man das bei einem Server so
unbedingt haben will, weiss ich ja nicht. Wenn sollte man tcpdump auf jeden
 Fall mit -p starten, denn die ganzen Pakete die sonst noch am Switchport
rauskommen will man ja nicht.

Wenn ihr nur ein paar Ports überwachen wollt, könntet ihr ja mal iptables
nehmen und leere Regeln definieren.

iptables -I OUTPUT -p udp --dport 123

Wenn ihr dann stündlich ein
iptables -L OUTPUT -n -v -Z > $(date +"traffic_%s.log")
macht und so in eine Datei schreibt, habt ihr pro Stunde die Anzahl der
Pakete und die Datenmenge gespeichert. Zum Plotten müsste man da allerdings
was scripten ;)

wenn ihr zusätzlich noch eine catchall regel für die anderen Ports machen
wollt (das könntet ihr sogar loggen) müsste man eine eigene Kette
aufmachen, das könnte dann so aussehen:

iptables -N accounting
iptables -A accounting -p udp --dport 123 -j RETURN
iptables -A accounting -p udp --dport 53 -j RETURN
...
iptables -A accounting -j RETURN


per
iptables -L accounting -n -v -Z
ist das dann entsprechend aufgespalten.

vor das letzte RETURN, das ja als catchall läuft, könnte man dann ein -j
LOG mit limit machen, dass ins syslog schreibt, welche ausgehenden ports
man vergessen hat. limit nicht vergessen, da kann u.U. viel ankommen ;)



Ansonsten: habt ihr da einen DNS laufen? Da gabs in letzter Zeit einige
massive ddos via Anfragen nach "." die mit gefälschten source-IPs kamen.


/Florian




-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
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=PkJI
-----END PGP SIGNATURE-----



More information about the SAGE mailing list