【急】服务器受到攻击，如何能验证？

Nanu

原帖由 ssffzz1 于 2006-10-10 19:56 发表
加iptables日志功能,把所有的NEW的INPUT包记录下来分析一下不可以吗.

简直了…… 非常佩服作者有如此的思路和想法。可谓千古奇人！

就算我认可你有毅力和足够的存储抓下这个 LOG，然后老兄是打算自己再写一个海量文件过滤器嘛？那你更神了！佩服啊！

作者是火星人，鉴定完毕……

colddawn

按照我的经验，写log未尝不可。
10Mbps的流量每秒生成的全封包文件记录最大也不过1.25MB，如果只是log的话那基本就只有报文头信息，容量足够小了，相信几个小时的记录还不至于找不出被攻击的记录吧。
难道版主说的就一定对？
另外绝对BS楼上的，说话不经大脑，迎合版主的帖子拍马，何况还有攻击他人智商的嫌疑，最后还自认水平高，建议混mop更有前途。

其实对于lz的问题我个人认为tcpdump就是最好的工具，没有哪个linux发行版没有这个组件吧，而且不论是即时观察还是写日志都非常方便。

langue

原帖由 colddawn 于 2006-10-10 21:33 发表
按照我的经验，写log未尝不可。
10Mbps的流量每秒生成的全封包文件记录最大也不过1.25MB，如果只是log的话那基本就只有报文头信息，容量足够小了，相信几个小时的记录还不至于找不出被攻击的记录吧。
难道版主说 ...

呵呵，这样的日志很难分析的，除非你能写出个程序来分析。

CentOS

如果包速率很高的话，LOG 以及磁盘 I/O 本身会成为严重平静
本身服务器负载就很高了，更不可能保存 iptables 的 LOG，因为每个 packet 都要分布存储的，这样效率很低
当被 DoS 的时候，由于 source 都是伪造的，所以每个 packet 都是 NEW 状态，又由于 DoS 的包速率都很高，所以 LOG 当然是不明智的做法，为什么不去 tcpdump -w file ？！

colddawn

楼上两位都是纸上谈兵吗？到底有没用过iptables的log呢？举个例子，我log了所有tcp包，一个报文被log后会产生如下记录：
Oct 10 22:00:38 gw kernel: IN=eth0 OUT= MAC=00:0c:76:26:2e:20:00:e0:fc:59:42:e6:08:00 SRC=1.1.1.1 DST=2.2.2.2 LEN=40 TOS=0x00 PREC=0x00 TTL=111 ID=25090 DF PROTO=TCP SPT=1525 DPT=22 WINDOW=65483 RES=0x00 ACK URGP=0
你们大可以算一下，一个报文log后究竟能占用多多少磁盘空间，分析难度究竟有多高。

至少对于楼主的问题---分析是否被攻击，我相信这绝对是可行的方法，虽然我认为tcpdump更方便一些，但iptables的log也是非常可行的办法，让我感到不爽的是至少有2个人质疑提出这个建议的人是否“疯了”，另外更有人竟然从分析简易/困难程度，甚至扯到i/o瓶颈去，你们有看清lz的问题吗？人家只需要断定是否被攻击，而没有要求你们关心服务器是否还正常，分析是否给服务器带来负载。头疼医头脚疼医脚固然可笑，头疼医脚岂不是更可笑？我小学老师曾经因为我作文离题给我判过不及格，因此我到现在还记得教训，楼上诸位忘了的话我在这里提醒你们一下。


另外，我可以告诉你们我自身的体验：我曾在长年负载4以上的机器抓包做记录，tcpdump以及netfilter的log都作过，进出流量是Gbps级别的。事实证明完全可行，即使会产生轻微丢包以及i/o造成的负载问题，但不足以影响服务器本身服务，至少我抓出来的记录，完全可以完成对网络流量状况的分析。

platinum

tcpdump 即可，根本没必要全部 -j LOG
我做过实验，当包速率很高的时候，LOG 会造成写盘不及时而严重丢包，且延时由 3ms 突增到 200ms 以上
占用多少磁盘空间不是问题，问题是 -j LOG 的时候会造成网络质量急剧下降，tcpdump 则无碍
可以针对特殊内容做 tcpdump，然后拿到 Ethereal 里分析，根本没必要做全部的 NEW 状态的 LOG 十几分钟

buddy_zq

我也菜 上来学习学习的

BigNoodle

tcpdump 抓包分析

suiyi2599

楼主的问题我也碰到过，我是用tcpdump做的分析，加上用mrtg分析流量，
然后找源头是内网还是外网，最后通过端口镜像用sniffer分析端口流量及包转发率，
最后定义出了是内网的问题，中间走了些弯路，不过被查出来了，心理感觉挺舒服呵呵！