monitoring odchoziho UDP trafficu
David Hrbáč
hrbac.conf na seznam.cz
Pondělí Říjen 11 08:40:17 CEST 2010
Dne 10.10.2010 16:04, Ondrej Svoboda napsal(a):
> cilo (i zdrovojove) porty jsou nahodne.
> v tuto chvili resim situaci tak, ze ctu /proc/net/ip_conntrack a pokud
> pocet spojeni z/na nejake IP presahne 3000, IP zafirewalluju:
> iptables -t raw -I OUTPUT -d $ip -j DROP
>
> - timto jsem zjistil ze se jedna o odchozi traffic - puvodne jsem
> bolokoval pomoci -I INPUT -s $ip, ale nechytlo to zadny packet.
>
> Peakovi diky za info o --log-uid - to jsem pouzil, takze ted vim, ze je
> to uzivatel nobody, pod kterym apache bezi :)
>
> ted uz bych potreboval jen ten pid podle ktereho bych dohledal webovy
> prostor.
a) grep ip_co_banuju /kde_mam_logy_webů
b) Jinak samozřejmě asi bych šel cestou projít veškeré logy a vybrat
nejnavštěvovanější url a jejich zdrojáky zkontroloval.
DH
Další informace o konferenci Linux