Como encontrar IPs maliciosos?

1

O Cacti mostra uma largura de banda alta irregular e bastante estável para o meu servidor (40x o normal), por isso acho que o servidor está em algum tipo de ataque DDoS. A largura de banda de entrada não paralisou meu servidor, mas, claro, consumindo a largura de banda e afetando o desempenho, por isso estou ansioso para descobrir os possíveis culpados IPs adicioná-los à minha lista de negação ou contrá-los. Quando eu corro:

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Eu recebo uma longa lista de IPs com até 400 conexões cada. Eu verifiquei os IPs que ocorrem mais numerosos, mas eles vêm do meu CDN. Então, eu estou querendo saber qual é a melhor maneira de ajudar a monitorar os pedidos que cada IP faz para identificar os maliciosos. Eu estou usando o servidor Ubuntu.

Obrigado

    
por alfish 15.03.2012 / 21:23

1 resposta

2

Supondo que seja um servidor da Web e as conexões estão na porta 80/443, verifique seus logs do servidor Apache / Web para ver o que é o user-agent. Você provavelmente descobrirá que é um bot de mecanismo de pesquisa. O número de bots de rastreamento (mal-intencionados, originais e limítrofes) aumentou substancialmente ao longo dos anos e pode causar o comportamento exato que você vê.

Suponho que você tenha baixado o comando do link , mas se não , contém alguns comandos interessantes.

Depois de pensar que você identificou um IP problemático, a próxima melhor etapa seria inspecionar o tráfego. Você pode fazer isso usando o tcpdump

tcpdump -i eth0 host 192.168.1.3 and port 80 -n -s 0 -vvv -w ~/tcpdump.cap

Em seguida, abra o tcpdump com o Wireshark e analise-o com facilidade

    
por 16.03.2012 / 00:02