SYN Flood attack

artomevsin · « **kdy:** 27. 10. 2019, 16:23:02 »

Ahoj,

máme zablokovaný server kvůli tomu, že dělá DDOS na jiné servery. Jak zjistím, který proces to způsobuje? OS je Debian 8.

Díky za každý nápad

Reklama

alex6bbc · « **Odpověď #1 kdy:** 27. 10. 2019, 16:52:46 »

kouknout se na provoz ve wiresharku.
virtualni server, fyzicky server, ktery lze odpojit a doma prozkoumat?

gill · « **Odpověď #2 kdy:** 27. 10. 2019, 17:30:52 »

Nejsem síťař, k čemu je wireshark na serveru? Nestačilo by někam logovat

Kód: [Vybrat]

tcpdump "tcp[tcpflags] & tcp-syn != 0"?

dahl · « **Odpověď #3 kdy:** 27. 10. 2019, 17:43:13 »

Jasne ze jo. Wireshark je tcpdump. Pust tcpdump a vidis hned.

vcunat · « **Odpověď #4 kdy:** 30. 10. 2019, 14:54:14 »

Wireshark/tcpdump je skvělá věc, ale nikdy jsem si nevšiml že by ukazoval který proces provoz způsobuje.

Reklama

McFly · « **Odpověď #5 kdy:** 30. 10. 2019, 15:15:06 »

Kód: [Vybrat]

netstat -ntp

Michal Schwarz · « **Odpověď #6 kdy:** 30. 10. 2019, 20:49:51 »

Případně přidat logovací pravidlo zhruba ve stylu "iptables -A OUTPUT -m tcp -p tcp --syn -j LOG --log-uid ...", a tím alespoň zjistit který uživatelský účet ten provoz generuje. Nemusí to být nutně root.

Nebo ideálně přes auditd/auditctl (viz např. https://serverfault.com/questions/352259/finding-short-lived-tcp-connections-owner-process).

gill · « **Odpověď #7 kdy:** 30. 10. 2019, 22:03:35 »

Citace: vcunat 30. 10. 2019, 14:54:14

Wireshark/tcpdump je skvělá věc, ale nikdy jsem si nevšiml že by ukazoval který proces provoz způsobuje.

proces dohledáte podle portu.

SYN Flood attack

artomevsin

SYN Flood attack

Reklama

alex6bbc

Re:SYN Flood attack

gill

Re:SYN Flood attack

dahl

Re:SYN Flood attack

vcunat

Re:SYN Flood attack

Reklama

McFly

Re:SYN Flood attack

Michal Schwarz

Re:SYN Flood attack

gill

Re:SYN Flood attack