Que critérios você usa para determinar se alguém está martelando seu servidor?

3

Quando você passa por seus registros, que critérios você usa para determinar se é você (ou seja: você precisa fortalecer seu (s) servidor (es)) ou (por exemplo: eles estão se aproximando de um DoS)? Quantas conexões / segundo você consideraria razoável e por quê? Você tem alguma outra regra (por exemplo: ponderada em relação aos IPs que também enviam spams?)

    
por username 18.05.2009 / 18:09

3 respostas

4

Idealmente, você não deveria ter que examinar manualmente os registros para esses sinais, eles devem ser definidos como limites de alerta que geram capturas SNMP / Mail automatizadas e, em algumas circunstâncias, iniciar medidas preventivas.

Quanto a regras específicas, as conexões / s ou semelhantes variam de acordo com o hardware, mas a alta utilização consistente da CPU (80% +) costuma ser motivo de preocupação, mesmo para memória e tamanho da fila de disco.

    
por 18.05.2009 / 18:13
2

Em um empregador anterior, usamos um script para monitorar o crescimento em arquivos de log e alertamos a equipe do administrador de sistemas se o crescimento era incomum naquela hora do dia. Deu alguns alarmes falsos até que conseguimos sintonizá-lo (isto é - descobri o que era habitual em determinados momentos do dia / estação), mas depois de um tempo correu suavemente.

    
por 18.05.2009 / 18:26
0

Geralmente, há dois tipos de alterações nos padrões de tráfego. O aumento gradual à medida que você (esperançosamente) ganha popularidade e o súbito surto causado por algum evento.

O surto repentino é aquele que normalmente mantém as pessoas à noite. Isso pode ser causado pelo departamento de marketing que está promovendo uma nova promoção; ser pego em Dig.com ou site similar; ser atingido por algum tipo de ataque geral à Internet, por exemplo, o SQL Slammer [ link ]; ou mais assustador de todos um ataque dirigido contra você, seus sites e servidores.

A boa comunicação interna ajudará no primeiro, registrando os referenciadores no segundo, mantendo um ouvido no chão, o terceiro e um plano de ação abrangente no quarto.

Registre tendências e detecção de anomalias. Represente graficamente seus padrões de tráfego com uma ferramenta como MRTG, Cacti ou Nagios (entre outros) - preferencialmente incluindo números de porta e não apenas bits de entrada / saída. Procure por tentativas de hack 'sob o radar' que não desencadeiem o conjunto normal de alarmes (leia Detecção de Extrusão: link e livros similares).

Acima de tudo, comece a procurar agora enquanto as coisas estão normais e comece a ter uma ideia do que é "normal". Conheça o seu negócio - quando é o seu horário ocupado do dia / semana / mês / ano? Comece a representar gráficos e tendências para que você tenha um histórico para se referir - quanto mais, melhor.

    
por 18.05.2009 / 20:19