SYN Flood
Michal Vymazal
gandalf na mbox.vol.cz
Úterý Září 25 22:40:42 CEST 2001
Michal Vymazal wrote:
> Ted jsme si asi nerozumeli. Ja to pouzivam na linuxovem routeru a tam
> je skutecne nutne (vzhledem k topologii) logovat vsechny TCP SYN a UDP
> prichozi na vnejsi eth rozhrani (tedy z Internetu). Vtip je v tom, ze
> archivaci dela automat prave pres postu a html vystup je
> "prehlednejsi" nez zapis v /var/log/messages. Archivy admin skutecne
> cist musi - je to jeho prace, ze:-)
> Na routeru je povoleno jen par sluzeb (relay MTA) apod. Zadny Apache.
> Je to samozrejme veci topologie, ale zatim vydrzel asi 300 pokusu
> denne na port 80. Do syslogd to neposilame, neni duvod. Nejde o hluk
> na pozadi - tak treba perlovy skriptik fire-wallerer "vyzobe" z
> /var/log/messages jen zapisy od ipchains a udela z nich ten
> "srozumitelny" html vystup.
>
Zapomnel jsem dodat to hlavni.
Uzel je pripojen k Internetu (providerovi) pevnou linkou o rychlosti
64kb/s, pripadne 128 kb/s. Zminovany "rate limit" tedy musime pocitat z
techto parametru a nikoliv z 10 Mb/s , pripadne ze 100 Mb/s.
Myslim, ze by ten router vydrzel i 2Mb/s , ale to jsme zatim nezkouseli.
Nevrklame samozrejme primo s /var/log/messges. Jiny skript udela kopii
poslednich 500 radku do samostatneho souboru (podle potreby, napr.
trikrat denne) a z nej pak perlovy skript "vyzobe" hlaseni od ipchains,
vyrobi html vystup a odesle postou adminovi.
--
Michal Vymazal
gandalf na mbox.vol.cz
Home computer
Další informace o konferenci Linux