reklama

SYN Flood attack

SYN Flood attack
« kdy: 27. 10. 2019, 16:23:02 »
Ahoj,

máme zablokovaný server kvůli tomu, že dělá DDOS na jiné servery. Jak zjistím, který proces to způsobuje? OS je Debian 8.

Díky za každý nápad

reklama


Re:SYN Flood attack
« Odpověď #1 kdy: 27. 10. 2019, 16:52:46 »
kouknout se na provoz ve wiresharku.
virtualni server, fyzicky server, ktery lze odpojit a doma prozkoumat?

gill

  • ***
  • 226
    • Zobrazit profil
    • E-mail
Re:SYN Flood attack
« Odpověď #2 kdy: 27. 10. 2019, 17:30:52 »
Nejsem síťař, k čemu je wireshark na serveru? Nestačilo by někam logovat
Kód: [Vybrat]
tcpdump "tcp[tcpflags] & tcp-syn != 0"?

Re:SYN Flood attack
« Odpověď #3 kdy: 27. 10. 2019, 17:43:13 »
Jasne ze jo. Wireshark je tcpdump. Pust tcpdump a vidis hned.

Re:SYN Flood attack
« Odpověď #4 kdy: 30. 10. 2019, 14:54:14 »
Wireshark/tcpdump je skvělá věc, ale nikdy jsem si nevšiml že by ukazoval který proces provoz způsobuje.

reklama


McFly

  • ****
  • 344
    • Zobrazit profil
    • E-mail
Re:SYN Flood attack
« Odpověď #5 kdy: 30. 10. 2019, 15:15:06 »
Kód: [Vybrat]
netstat -ntp ;)

Re:SYN Flood attack
« Odpověď #6 kdy: 30. 10. 2019, 20:49:51 »
Případně přidat logovací pravidlo zhruba ve stylu "iptables -A OUTPUT -m tcp -p tcp --syn -j LOG --log-uid ...", a tím alespoň zjistit který uživatelský účet ten provoz generuje. Nemusí to být nutně root.

Nebo ideálně přes auditd/auditctl (viz např. https://serverfault.com/questions/352259/finding-short-lived-tcp-connections-owner-process).

gill

  • ***
  • 226
    • Zobrazit profil
    • E-mail
Re:SYN Flood attack
« Odpověď #7 kdy: 30. 10. 2019, 22:03:35 »
Wireshark/tcpdump je skvělá věc, ale nikdy jsem si nevšiml že by ukazoval který proces provoz způsobuje.

proces dohledáte podle portu.

 

reklama