[linux] Logovanie konekcii a DDoS

[Lukáš Staňa]

Ahojte konfera,

po dlhšom čase znova otravujem. Som postavený pred problém logovania 
konekcií zo strany ISP, ktoré vraj vyplýva zo zákona o Policajnom zbore 
(vie niekto číslo zákona? ani za frasa neviem nájsť ten paragraf). 
Riešenie je jednoduché, obyčajný Snort a pomerne výkonná mašinka. Na 
takýto monitorovací server je mirrorovaný traffic z Cisca. Bežne sa 
traffic pohybuje okolo 150Mbits, strop je niekde okolo 400Mbits. Zatiaľ 
je to OK, mašina to celkom zvláda, v snorte samotnom sú vlastne len 2 
pravidlá a síce zalogovanie každej novej konekcie smerom von a v rámci 
siete. Dáta síce riadne nabobtnajú, ale v prípade požiadavky od PZ SR sa 
s tým dá celkom robiť. Acidbase neprichádza do úvahy a ani ho netreba.

Lenže ...

Občas sa stane prípad, že je na sieť vedený nejaký packet storm/DoS/DDoS 
útok, aj zvonka, aj zvnútra a preto je dobré logovať nové konekcie a ak 
v priebehu trebárs 15 minút zaznamenáme rádovo vyššie konekcie, môžeme 
ho bloknúť. Problém je teraz v tom, ako skombinovať obidva požiadavky 
dokopy. Samotné logovanie konekcií fakt stačí za posledných 15 minút až 
jednu hodinu, staršie dáta môžu ísť het. Viem si to predstaviť tak, že 
tabuľky budú v MySQL typu MEMORY, čo zaručí aj pomerne rýchle 
spracovanie nejakým skriptom a aj rýchlejšie napĺňanie dátami, mám s tým 
dobré skúsenosti pri traffic accountingu. Dáta pre políciu by čakali na 
svojich 15 minút slávy na disku.

Otázka teda znie:
Ako docieliť, aby Snort písal dáta do dvoch DB naraz? Prípadne, ak 
existuje nejaké elegantnejšie riešenie, veľmi rád ho prijmem. Chápem, že 
takéto veci sú viac-menej know-how, takže stačí aj mierne nakopnutie. 
Nechcem premakané riešenie typu PIX alebo ASA, chcem to nechať simple a 
linuxoidné. Každopádne, rád sa potom podelím s mojim riešením, pretože 
viem, že kopec lokálnych ISP tieto veci nemajú stále vyriešené.


Ďakujem za každú reakciu a ostávam s pozdravom

Lukáš Staňa