Fórum Root.cz

Hlavní témata => Server => Téma založeno: artomevsin 27. 10. 2019, 16:23:02

Název: SYN Flood attack
Přispěvatel: artomevsin 27. 10. 2019, 16:23:02

Ahoj,

máme zablokovaný server kvůli tomu, že dělá DDOS na jiné servery. Jak zjistím, který proces to způsobuje? OS je Debian 8.

Díky za každý nápad

Název: Re:SYN Flood attack
Přispěvatel: alex6bbc 27. 10. 2019, 16:52:46

kouknout se na provoz ve wiresharku.
virtualni server, fyzicky server, ktery lze odpojit a doma prozkoumat?

Název: Re:SYN Flood attack
Přispěvatel: gill 27. 10. 2019, 17:30:52

Nejsem síťař, k čemu je wireshark na serveru? Nestačilo by někam logovat

Kód: [Vybrat]

tcpdump "tcp[tcpflags] & tcp-syn != 0"?

Název: Re:SYN Flood attack
Přispěvatel: dahl 27. 10. 2019, 17:43:13

Jasne ze jo. Wireshark je tcpdump. Pust tcpdump a vidis hned.

Název: Re:SYN Flood attack
Přispěvatel: vcunat 30. 10. 2019, 14:54:14

Wireshark/tcpdump je skvělá věc, ale nikdy jsem si nevšiml že by ukazoval který proces provoz způsobuje.

Název: Re:SYN Flood attack
Přispěvatel: McFly 30. 10. 2019, 15:15:06

Kód: [Vybrat]

netstat -ntp ;)

Název: Re:SYN Flood attack
Přispěvatel: Michal Schwarz 30. 10. 2019, 20:49:51

Případně přidat logovací pravidlo zhruba ve stylu "iptables -A OUTPUT -m tcp -p tcp --syn -j LOG --log-uid ...", a tím alespoň zjistit který uživatelský účet ten provoz generuje. Nemusí to být nutně root.

Nebo ideálně přes auditd/auditctl (viz např. https://serverfault.com/questions/352259/finding-short-lived-tcp-connections-owner-process).

Název: Re:SYN Flood attack
Přispěvatel: gill 30. 10. 2019, 22:03:35

Citace: vcunat  30. 10. 2019, 14:54:14

Wireshark/tcpdump je skvělá věc, ale nikdy jsem si nevšiml že by ukazoval který proces provoz způsobuje.

proces dohledáte podle portu.