[linux] Logovanie konekcii a DDoS

Úterý Srpen 12 17:45:04 CEST 2008

Ahoj.

Chapal som asi iba stvrtine textu :-) ale mam mozno nakopnutie, avsak neviem 
ci spravnym smerom:

1, Kedze snort pise do jednej db, tak db replikovat.

2, Kedze to pise do jednej db, tak tam pridat trigre, ktore budu robit       
replikaciu do inej tabulky rovnakej db. (v podstate myslienka 1)

3, spravit pravidlo, nech v pripade novej konekcii sa posle daco na virtualny 
network divajs. Sledovat trafic na tomto virtualnom netvork divajsi, ktoreho 
data idu do /dev/null a ked prekroci magicku konstantu, vie sa, ze je vela 
konekcii za sekundu.

PS: prve dve veci si viem predstavit, tretiu moc nie. Ak by bola schodna, 
posli mi pls o tom dajake info. Monitoring utoku z dosu sa zide. (iptables je 
pre mna spanielska dedina)

On Tuesday 12 August 2008 14:51:00 Lukáš Staňa wrote:
> Ahojte konfera,
>
> po dlhšom čase znova otravujem. Som postavený pred problém logovania
> konekcií zo strany ISP, ktoré vraj vyplýva zo zákona o Policajnom zbore
> (vie niekto číslo zákona? ani za frasa neviem nájsť ten paragraf).
> Riešenie je jednoduché, obyčajný Snort a pomerne výkonná mašinka. Na
> takýto monitorovací server je mirrorovaný traffic z Cisca. Bežne sa
> traffic pohybuje okolo 150Mbits, strop je niekde okolo 400Mbits. Zatiaľ
> je to OK, mašina to celkom zvláda, v snorte samotnom sú vlastne len 2
> pravidlá a síce zalogovanie každej novej konekcie smerom von a v rámci
> siete. Dáta síce riadne nabobtnajú, ale v prípade požiadavky od PZ SR sa
> s tým dá celkom robiť. Acidbase neprichádza do úvahy a ani ho netreba.
>
> Lenže ...
>
> Občas sa stane prípad, že je na sieť vedený nejaký packet storm/DoS/DDoS
> útok, aj zvonka, aj zvnútra a preto je dobré logovať nové konekcie a ak
> v priebehu trebárs 15 minút zaznamenáme rádovo vyššie konekcie, môžeme
> ho bloknúť. Problém je teraz v tom, ako skombinovať obidva požiadavky
> dokopy. Samotné logovanie konekcií fakt stačí za posledných 15 minút až
> jednu hodinu, staršie dáta môžu ísť het. Viem si to predstaviť tak, že
> tabuľky budú v MySQL typu MEMORY, čo zaručí aj pomerne rýchle
> spracovanie nejakým skriptom a aj rýchlejšie napĺňanie dátami, mám s tým
> dobré skúsenosti pri traffic accountingu. Dáta pre políciu by čakali na
> svojich 15 minút slávy na disku.
>
> Otázka teda znie:
> Ako docieliť, aby Snort písal dáta do dvoch DB naraz? Prípadne, ak
> existuje nejaké elegantnejšie riešenie, veľmi rád ho prijmem. Chápem, že
> takéto veci sú viac-menej know-how, takže stačí aj mierne nakopnutie.
> Nechcem premakané riešenie typu PIX alebo ASA, chcem to nechať simple a
> linuxoidné. Každopádne, rád sa potom podelím s mojim riešením, pretože
> viem, že kopec lokálnych ISP tieto veci nemajú stále vyriešené.
>
>
> Ďakujem za každú reakciu a ostávam s pozdravom
>
> Lukáš Staňa
> _______________________________________________
> https://lists.linux.sk/mailman/listinfo/linux
> Meta FAQ: http://www.sklug.sk/lists/linux/metafaq.html