[linux] Logovanie konekcii a DDoS
Lukáš Staňa
lukas.stana na gmail.com
Úterý Srpen 12 14:51:00 CEST 2008
Ahojte konfera,
po dlhšom čase znova otravujem. Som postavený pred problém logovania
konekcií zo strany ISP, ktoré vraj vyplýva zo zákona o Policajnom zbore
(vie niekto číslo zákona? ani za frasa neviem nájsť ten paragraf).
Riešenie je jednoduché, obyčajný Snort a pomerne výkonná mašinka. Na
takýto monitorovací server je mirrorovaný traffic z Cisca. Bežne sa
traffic pohybuje okolo 150Mbits, strop je niekde okolo 400Mbits. Zatiaľ
je to OK, mašina to celkom zvláda, v snorte samotnom sú vlastne len 2
pravidlá a síce zalogovanie každej novej konekcie smerom von a v rámci
siete. Dáta síce riadne nabobtnajú, ale v prípade požiadavky od PZ SR sa
s tým dá celkom robiť. Acidbase neprichádza do úvahy a ani ho netreba.
Lenže ...
Občas sa stane prípad, že je na sieť vedený nejaký packet storm/DoS/DDoS
útok, aj zvonka, aj zvnútra a preto je dobré logovať nové konekcie a ak
v priebehu trebárs 15 minút zaznamenáme rádovo vyššie konekcie, môžeme
ho bloknúť. Problém je teraz v tom, ako skombinovať obidva požiadavky
dokopy. Samotné logovanie konekcií fakt stačí za posledných 15 minút až
jednu hodinu, staršie dáta môžu ísť het. Viem si to predstaviť tak, že
tabuľky budú v MySQL typu MEMORY, čo zaručí aj pomerne rýchle
spracovanie nejakým skriptom a aj rýchlejšie napĺňanie dátami, mám s tým
dobré skúsenosti pri traffic accountingu. Dáta pre políciu by čakali na
svojich 15 minút slávy na disku.
Otázka teda znie:
Ako docieliť, aby Snort písal dáta do dvoch DB naraz? Prípadne, ak
existuje nejaké elegantnejšie riešenie, veľmi rád ho prijmem. Chápem, že
takéto veci sú viac-menej know-how, takže stačí aj mierne nakopnutie.
Nechcem premakané riešenie typu PIX alebo ASA, chcem to nechať simple a
linuxoidné. Každopádne, rád sa potom podelím s mojim riešením, pretože
viem, že kopec lokálnych ISP tieto veci nemajú stále vyriešené.
Ďakujem za každú reakciu a ostávam s pozdravom
Lukáš Staňa
Další informace o konferenci linux