Cum fac sa ruleze tcpdump -vv -n > ceva pentru un minut si sa se opreasca dupa?
Ideea de baza e ca as vrea sa fac un script care sa salveze toate logurile unui atac DDoS. Am avut mai multe in ultimile zile si la respectivele nu am avut toate logurile. ma gandeam la un script care sa ruleze periodic (sa zicem la 1 minut) comanda: netstat -tupan | grep SYN_REC | wc -l Daca rezultatul e 0 sa o tot dea. Daca rezultatu e mai mare ca 0, atata timp cat este mai mare ca 0, din minut in minut sa dea: date >>/log_atac/syn_log_$dataora netstat -tupan | grep SYN_REC >>/log_atac/syn_log_$dataora netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort >>/log_atac/syn_log_$dataora Acum, in paralel, sa lanseze comanda: tcpdump -n -v > /log_atac/$dataora (unde data si ora = data si ora inceperii logarii) - sau orice alta comanda care poate memora toate datele referitoare la activitati sau sa ruleze si ea 1 minut alaturi de cele 3 comenzi de sus In momentul in care netstat -tupan | grep SYN_REC | wc -l da rezultatul 0 Sa dea kill -9 $pidtcpdump (daca este cazul). Dupa care sa arhiveze toate logurile de mai sus in o arhiva /log_atac_$dataora.rgz si sa stearga logurile din /log_atac/ Eventual sa dea un mail cu arhiva daca e pana in 25 de mega sau sa o puna pe FTP-ul unde am backup-ul. ============================== In mare ma descurc sa il fac, sunt cateva mici neclaritati si probleme. _______________________________________________ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug