Nu poti instala tshark?!? => tshark -a <=
http://www.wireshark.org/docs/man-pages/tshark.html
2012/1/28 Laurentiu STEFAN <laurentiu.ste...@gmail.com>
> Cum fac sa ruleze tcpdump -vv -n > ceva pentru un minut si sa se opreasca
> dupa?
>
> Ideea de baza e ca as vrea sa fac un script care sa salveze toate logurile
> unui atac DDoS.
>
> Am avut mai multe in ultimile zile si la respectivele nu am avut toate
> logurile.
>
> ma gandeam la un script care sa ruleze periodic (sa zicem la 1 minut)
> comanda:
>
>
>
> netstat -tupan | grep SYN_REC | wc -l
>
>
>
> Daca rezultatul e 0 sa o tot dea.
>
>
>
> Daca rezultatu e mai mare ca 0, atata timp cat este mai mare ca 0, din
> minut in minut sa dea:
>
>
>
> date >>/log_atac/syn_log_$dataora
>
> netstat -tupan | grep SYN_REC >>/log_atac/syn_log_$dataora
>
> netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort
> >>/log_atac/syn_log_$dataora
>
>
>
> Acum, in paralel, sa lanseze comanda:
>
>
>
> tcpdump -n -v > /log_atac/$dataora (unde data si ora = data si ora
> inceperii logarii) - sau orice alta comanda care poate memora toate datele
> referitoare la activitati
>
>
> sau sa ruleze si ea 1 minut alaturi de cele 3 comenzi de sus
>
>
>
> In momentul in care netstat -tupan | grep SYN_REC | wc -l da rezultatul 0
>
> Sa dea kill -9 $pidtcpdump (daca este cazul).
>
> Dupa care sa arhiveze toate logurile de mai sus in o arhiva
> /log_atac_$dataora.rgz si sa stearga logurile din /log_atac/
>
> Eventual sa dea un mail cu arhiva daca e pana in 25 de mega sau sa o puna
> pe FTP-ul unde am backup-ul.
>
>
>
> ==============================
>
>
>
> In mare ma descurc sa il fac, sunt cateva mici neclaritati si probleme.
> _______________________________________________
> RLUG mailing list
> RLUG@lists.lug.ro
> http://lists.lug.ro/mailman/listinfo/rlug
>
_______________________________________________
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug
