monitoring odchoziho UDP trafficu

David Hrbáč hrbac.conf na seznam.cz
Pondělí Říjen 11 08:40:17 CEST 2010


Dne 10.10.2010 16:04, Ondrej Svoboda napsal(a):
> cilo (i zdrovojove) porty jsou nahodne.
> v tuto chvili resim situaci tak, ze ctu /proc/net/ip_conntrack a pokud
> pocet spojeni z/na nejake IP presahne 3000, IP zafirewalluju:
> iptables -t raw -I OUTPUT -d $ip -j DROP
> 
> - timto jsem zjistil ze se jedna o odchozi traffic - puvodne jsem
> bolokoval pomoci -I INPUT -s $ip, ale nechytlo to zadny packet.
> 
> Peakovi diky za info o --log-uid - to jsem pouzil, takze ted vim, ze je
> to uzivatel nobody, pod kterym apache bezi :)
> 
> ted uz bych potreboval jen ten pid podle ktereho bych dohledal webovy
> prostor.

a) grep ip_co_banuju /kde_mam_logy_webů

b) Jinak samozřejmě asi bych šel cestou projít veškeré logy a vybrat
nejnavštěvovanější url a jejich zdrojáky zkontroloval.
DH



Další informace o konferenci Linux