Adott a következő probléma: webhosting szerverek, 1 maddzagon lógnak. Furcsa hálózati jelenségek, mint kiderült az oka: 10xesen próbáljuk meg túlhasználni a nemzetközi sávot. Kérésre szolgáltató szivességből lekapcsolja a nemzetközi limitet, a muninon nemnagyon rezzennek meg a görbék (a belföldi forgalom 'elnyomja' a külföldinek a változását). A kérdés az, hogy hogyan tudnám kitalálni, hogy mi akar ennyit forgalmazni külföldre? Egy bezombult process vagy ftp-n nyomják az oroszok a dolgot, vagy valami más. Próbáltam tcpdump greppelésével, iptraffal nézegettem, nemnagyon sikerült kitalálni. Minden ötletet, programot, kész megoldást szivesen várok.
Köszi előre is!
- 1058 megtekintés
Hozzászólások
wireshark / ethereal?
debian gnu/linux @ linux-2.6.22.24-op1 | patch
info
- A hozzászóláshoz be kell jelentkezni
+1
Nem valószínű, hogy így látatlanba bárki is kitalálja, hogy X feketedoboz szerveren ugyan mi generál forgalmat, mondjuk külföldre.
Azonban tcpdump / wireshark / ethereal -al megfigyelheted a teljes forgalmat. Persze az sok, de derítsd ki, hogy mi számít belföldi forgalomnak, és szűrj arra, ami nem ilyen.
Ha nem találsz semmit, akkor igencsak rootkit gyanús a dolog. Vigyél be külön gépet, tedd a szerverek és az uplink közé, és arról monitorozz akkor.
Ezek mellett két tippem van: kolléga ezekről a gépekről Torrentezik (és rosszul állította be a sávszélkorlátokat), vagy valamelyik Webhosting ügyfél sikeresen felrakta az mp3-kollekcióját a webre, és ezerrel töltik.
--
The Net is indeed vast and infinite...
http://gablog.eu
- A hozzászóláshoz be kell jelentkezni
Hát először is köszi szépen a választ mondjuk a wireshark kemény meló lesz, mert egy 40-50mbit azért átcsusszanik a gépeken. kollega, torrent kilőve, egészen biztos vagyok, hogy azokon a gépeken semmi ilyesmi nemmegy, mp3 is kilőve, az látszódni az összesitett awstats-on (a legtöbbet forgalmazók nagyon belföldi embereket megcélzó tartalmakat osztanak, a többi meg elveszik a mérés saját zajában). Szóval még mindig töröm a fejem, de megpróbálok akkor továbbgreppelni tcpdumpot.
Van valahol valami IPtartománytáblázat, hogy mi a hazai és mi a külföld?
"A herceg én vagyok."
- A hozzászóláshoz be kell jelentkezni
Esetleg megnézheted, hogy milyen olyan socketek vannak a gépen, amiket nem tudsz hova tenni, fuser lehet a barátod.
- A hozzászóláshoz be kell jelentkezni
IP - orszag adatbazis:
http://www.maxmind.com/app/geoip_country
- A hozzászóláshoz be kell jelentkezni
Nezz rootkit utan.
Nekem mar tobbszor tortek meg a rendszert az Awstat-on keresztul.
Altalaban egy, az awstat egy kodfuttatasi hibajat hasznaltak, ki aminek a segitsegevel behuztak rootkitjuket (meg sajat gcc es libc is volt a csomagban) majd bruteforceban, elkezdtek torni a gepet.
Leggyorsabban, mar a korabban javasolt middle-man modszerrel (egy gep atjatszokent valo bepakolasa)tudod kiszurni, hogy ki fecseg sokat.
Ilyenkor eleg annyi, hogy a betett gepen inditasz egy iptraft es azon futtatod a LAN station monitort. Utana MAC alapjan kibujik, hogy ki a hibas.
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "
- A hozzászóláshoz be kell jelentkezni
iftop, netflow (fprobe + flow-capture + webview)
- A hozzászóláshoz be kell jelentkezni