Атака с моего сервера большим количеством пакетов

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
linelect
проходил мимо
Сообщения: 4
Зарегистрирован: 2013-03-07 16:12:06

Атака с моего сервера большим количеством пакетов

Непрочитанное сообщение linelect » 2013-03-07 16:59:54

Есть у меня веб сервер на debian, и случилась беда - взламали одну из Джумл, закачали на хостинг свои скрипты и начали отсылать много пакетов на какой-то банк.
То есть атаковать.

В результате датацентр прислал маляву, в которой:
Direction OUT
Internal 222.222.222.222
Threshold Packets 30.000 packets/s
Sum 20.295.000 packets/300s (67.650 packets/s), 17.720 flows/300s (59 flows/s), 1,134 GByte/300s (30 MBit/s)
External 111.111.111.111, 20.295.000 packets/300s (67.650 packets/s), 17.720 flows/300s (59 flows/s), 1,134 GByte/300s (30 MBit/s)

И пригрозил заблокировать сервер (мой IP).

Я блоканул исходящий трафик на этото адрес, нашел взломанный сайт, хакерские файлы, почистил.

Но вот вопрос. Как мне мониторить вот такие буды? Я хочу автоматизировать процес блокировки входящего и исходящего потока по признаку большого количества пакетов в секунду.
Хочу получить количество пакетов и адрес куда пакеты идут. Искал готовые скрипты и программы, подходящего ничего не нашел. Возможно более опытные люди подскажут.

iptraf, ethstat - ими можно просто наглядно мониторить количество, но с помощью их автоматизировать наверное не получится.
Нашел на этом форуме еще скрипт:

Код: Выделить всё

while true; do VAR=`cat /proc/net/dev | grep eth0 | awk '{print $2+$10}'`; sleep 1; VAR2=`cat /proc/net/dev | grep eth0 | awk '{print $2+$10}'`; echo -ne "$(($VAR2-$VAR))\r"; done
но его показатели отличаются от показателей iptraf, ethstat

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
skeletor
майор
Сообщения: 2507
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: Атака с моего сервера большим количеством пакетов

Непрочитанное сообщение skeletor » 2013-03-11 14:46:41

Поставить мониторинг типа zabbix, cacti, nagios и прикрутить проверку на количество пакетов.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

Аватара пользователя
kharkov_max
капитан
Сообщения: 1810
Зарегистрирован: 2008-10-03 14:56:40

Re: Атака с моего сервера большим количеством пакетов

Непрочитанное сообщение kharkov_max » 2013-03-16 12:08:43

Давиче, как то помогал.

Только ситуация была другая, у народа был сай который падал при атаке с определенного адреса.
Web сервер был nginx.

Так вот тупо в лоб помогло в фаерволе ограничение на кол-во коннектов с IP, так же это можно зарезать на уровне Web сервера.
Думаю что у вас похожий случай, тогда и мониторить ни чего не нужно ...
А joomla нужно защищать, хотя бы этим "jSecure Authentication"...

linelect
проходил мимо
Сообщения: 4
Зарегистрирован: 2013-03-07 16:12:06

Re: Атака с моего сервера большим количеством пакетов

Непрочитанное сообщение linelect » 2013-03-19 14:12:10

zabbix, cacti, nagios то хорошо, мониторинг будет.

Но мне нужно автоматизировать блокировку IP с которой или на которою идет атака.
Так как в момент атаки промониторить количество соединений я не смог - то не знаю, много соеденений или нет.

Мне нужно утилиту или команду, после вызова которой я б смог получить список из n строчек типа: Количество_пакето_за_сек. IP
Например:
3000 192.168.1.1