ismeretlen bejövő forgalom meghatározása

Linux-security

sziasztok!

rendszertelen időközönként az mrtg logban megjelennek olyan bejövő forgalmak, amiknek legnagyobb bánatomra nem ismerem az okát. a szerver egyaránt szolgáltat webet, levelezést, ftp-t. az összes lehetséges logot, könyvtárat végigbogarásztam az adott intervallumon belül, de nincs nyoma ennek az indokolatlan terhelésnek semelyikben sem. a forgalom általában 1 óra hosszáig jelentkezik, és nem több 500kbps-nél.

van rá mód, hogy valahogy behatároljam az eseményt, ami ezt kiválthatta?

  • 1344 megtekintés

( zwei | 2008. 03. 10., h – 09:57 )

Fapados módszer:
iptables -L -v
Minden szabálynál látszik, hogy mekkora forgalmat bonyolított le.

Kevésbé fapados: ntop.

Akkor a fentebb emlitett iptables -L -v miért nem jó? Akár iptables -nvL. Az érték iptables újrainditásakor nullázódik. Scriptet irsz rá ami óránként fájlba irja az állást, majd újra betölti a szabályokat. A kérdéses órához tartozó kimenetet megvizsgálod melyik szolgáltatás nyomta meg a forgalmat.

--
Desktop: 2.6.21-gentoo-r4 AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
Laptop: 2.6.22-gentoo-r5 Mobile Intel(R) Pentium(R) 4 - M CPU 2.00GHz

( yndy | 2008. 03. 10., h – 13:51 )

En igy szoktam az ad-hoc forgalmat nezegetni.
tcpdump -pn -s 1500 -C 50 -W 5 -w akarmi.cap

Az akarmi.cap-ot meg kesobb nezheted.
Ami a lenyeg (szerintem), hogy 50MB-os fajlokat keszit, max 5-ot, es a 6.-al mar felulirja az elsot.
Tehat ha nagy a forgalom, akkor lehet, hogy tobbet kell elmenteni, vagy nagyobb meretben(bar akkor nehezebben kezeli pl. a wireshark). Viszont ha eszreveszed megint a forgalmat, akkor az valoszinu az egyik 50MB-os fajban benne lesz(ha nem, akkor addig jatsz vele :), es csak azt kell atnezni. Ha tudod a pontos idopontot akkor gond nelkul megtalalod.

(remelem nem ertettem felre az eredeti problemat...)