monitoring odchoziho UDP trafficu
Ondrej Svoboda
svoboda na svoon.net
Neděle Říjen 10 16:04:29 CEST 2010
> A cilove/zdrojove porty vypadaji taky nahodne, nebo jak? A jste si jisty
> ze jde o odchozi spojeni?
>
cilo (i zdrovojove) porty jsou nahodne.
v tuto chvili resim situaci tak, ze ctu /proc/net/ip_conntrack a pokud
pocet spojeni z/na nejake IP presahne 3000, IP zafirewalluju:
iptables -t raw -I OUTPUT -d $ip -j DROP
- timto jsem zjistil ze se jedna o odchozi traffic - puvodne jsem
bolokoval pomoci -I INPUT -s $ip, ale nechytlo to zadny packet.
Peakovi diky za info o --log-uid - to jsem pouzil, takze ted vim, ze je
to uzivatel nobody, pod kterym apache bezi :)
ted uz bych potreboval jen ten pid podle ktereho bych dohledal webovy
prostor.
ondrej
Další informace o konferenci Linux