Nu poti instala tshark?!? => tshark -a <= http://www.wireshark.org/docs/man-pages/tshark.html
2012/1/28 Laurentiu STEFAN <laurentiu.ste...@gmail.com> > Cum fac sa ruleze tcpdump -vv -n > ceva pentru un minut si sa se opreasca > dupa? > > Ideea de baza e ca as vrea sa fac un script care sa salveze toate logurile > unui atac DDoS. > > Am avut mai multe in ultimile zile si la respectivele nu am avut toate > logurile. > > ma gandeam la un script care sa ruleze periodic (sa zicem la 1 minut) > comanda: > > > > netstat -tupan | grep SYN_REC | wc -l > > > > Daca rezultatul e 0 sa o tot dea. > > > > Daca rezultatu e mai mare ca 0, atata timp cat este mai mare ca 0, din > minut in minut sa dea: > > > > date >>/log_atac/syn_log_$dataora > > netstat -tupan | grep SYN_REC >>/log_atac/syn_log_$dataora > > netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort > >>/log_atac/syn_log_$dataora > > > > Acum, in paralel, sa lanseze comanda: > > > > tcpdump -n -v > /log_atac/$dataora (unde data si ora = data si ora > inceperii logarii) - sau orice alta comanda care poate memora toate datele > referitoare la activitati > > > sau sa ruleze si ea 1 minut alaturi de cele 3 comenzi de sus > > > > In momentul in care netstat -tupan | grep SYN_REC | wc -l da rezultatul 0 > > Sa dea kill -9 $pidtcpdump (daca este cazul). > > Dupa care sa arhiveze toate logurile de mai sus in o arhiva > /log_atac_$dataora.rgz si sa stearga logurile din /log_atac/ > > Eventual sa dea un mail cu arhiva daca e pana in 25 de mega sau sa o puna > pe FTP-ul unde am backup-ul. > > > > ============================== > > > > In mare ma descurc sa il fac, sunt cateva mici neclaritati si probleme. > _______________________________________________ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug > _______________________________________________ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug