Cum fac sa ruleze tcpdump -vv -n > ceva pentru un minut si sa se opreasca
dupa?
Ideea de baza e ca as vrea sa fac un script care sa salveze toate logurile
unui atac DDoS.
Am avut mai multe in ultimile zile si la respectivele nu am avut toate
logurile.
ma gandeam la un script care sa ruleze periodic (sa zicem la 1 minut)
comanda:
netstat -tupan | grep SYN_REC | wc -l
Daca rezultatul e 0 sa o tot dea.
Daca rezultatu e mai mare ca 0, atata timp cat este mai mare ca 0, din
minut in minut sa dea:
date >>/log_atac/syn_log_$dataora
netstat -tupan | grep SYN_REC >>/log_atac/syn_log_$dataora
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort
>>/log_atac/syn_log_$dataora
Acum, in paralel, sa lanseze comanda:
tcpdump -n -v > /log_atac/$dataora (unde data si ora = data si ora
inceperii logarii) - sau orice alta comanda care poate memora toate datele
referitoare la activitati
sau sa ruleze si ea 1 minut alaturi de cele 3 comenzi de sus
In momentul in care netstat -tupan | grep SYN_REC | wc -l da rezultatul 0
Sa dea kill -9 $pidtcpdump (daca este cazul).
Dupa care sa arhiveze toate logurile de mai sus in o arhiva
/log_atac_$dataora.rgz si sa stearga logurile din /log_atac/
Eventual sa dea un mail cu arhiva daca e pana in 25 de mega sau sa o puna
pe FTP-ul unde am backup-ul.
==============================
In mare ma descurc sa il fac, sunt cateva mici neclaritati si probleme.
_______________________________________________
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug
