Атака с моего сервера большим количеством пакетов
Добавлено: 2013-03-07 16:59:54
Есть у меня веб сервер на debian, и случилась беда - взламали одну из Джумл, закачали на хостинг свои скрипты и начали отсылать много пакетов на какой-то банк.
То есть атаковать.
В результате датацентр прислал маляву, в которой:
Direction OUT
Internal 222.222.222.222
Threshold Packets 30.000 packets/s
Sum 20.295.000 packets/300s (67.650 packets/s), 17.720 flows/300s (59 flows/s), 1,134 GByte/300s (30 MBit/s)
External 111.111.111.111, 20.295.000 packets/300s (67.650 packets/s), 17.720 flows/300s (59 flows/s), 1,134 GByte/300s (30 MBit/s)
И пригрозил заблокировать сервер (мой IP).
Я блоканул исходящий трафик на этото адрес, нашел взломанный сайт, хакерские файлы, почистил.
Но вот вопрос. Как мне мониторить вот такие буды? Я хочу автоматизировать процес блокировки входящего и исходящего потока по признаку большого количества пакетов в секунду.
Хочу получить количество пакетов и адрес куда пакеты идут. Искал готовые скрипты и программы, подходящего ничего не нашел. Возможно более опытные люди подскажут.
iptraf, ethstat - ими можно просто наглядно мониторить количество, но с помощью их автоматизировать наверное не получится.
Нашел на этом форуме еще скрипт:
но его показатели отличаются от показателей iptraf, ethstat
То есть атаковать.
В результате датацентр прислал маляву, в которой:
Direction OUT
Internal 222.222.222.222
Threshold Packets 30.000 packets/s
Sum 20.295.000 packets/300s (67.650 packets/s), 17.720 flows/300s (59 flows/s), 1,134 GByte/300s (30 MBit/s)
External 111.111.111.111, 20.295.000 packets/300s (67.650 packets/s), 17.720 flows/300s (59 flows/s), 1,134 GByte/300s (30 MBit/s)
И пригрозил заблокировать сервер (мой IP).
Я блоканул исходящий трафик на этото адрес, нашел взломанный сайт, хакерские файлы, почистил.
Но вот вопрос. Как мне мониторить вот такие буды? Я хочу автоматизировать процес блокировки входящего и исходящего потока по признаку большого количества пакетов в секунду.
Хочу получить количество пакетов и адрес куда пакеты идут. Искал готовые скрипты и программы, подходящего ничего не нашел. Возможно более опытные люди подскажут.
iptraf, ethstat - ими можно просто наглядно мониторить количество, но с помощью их автоматизировать наверное не получится.
Нашел на этом форуме еще скрипт:
Код: Выделить всё
while true; do VAR=`cat /proc/net/dev | grep eth0 | awk '{print $2+$10}'`; sleep 1; VAR2=`cat /proc/net/dev | grep eth0 | awk '{print $2+$10}'`; echo -ne "$(($VAR2-$VAR))\r"; done