主页 / server / 问题 / 388024
Accepted
Asad Moeen
Asked: 2012-05-11 10:35:37 +0800 CST

记录 tcpdump 输出

  • 772

我基本上想要的是每 3 天将所有 tcpdump 捕获的数据包写入一个文件。所以基本上 tcpdump 应该在第 1 天运行 24 小时,并将输出写入 Day1.log 以及 Day2 和 Day3 的类似内容。在第 4 天,它应该重复并将日志再次写入 Day1。这基本上是为了检查我的服务器上的 DDoS 尝试并找出攻击类型,包括攻击者的 IP,因为在过去 7 天我的机器被 DDoS 攻击,我希望它再次发生。我知道它是由一些 cronjobs 完成的,但我需要将实际命令放在那里?

我还想知道哪个 IP 以 mb/sec 为单位进行了最大输入,因为我的流量很高,所以我将近 6 个小时来继续搜索这些文件以查找攻击者的 IP。那么在分析这些文件的过程中,WireShark 中是否有任何内容可以告诉我 IP 向我的服务器输入了多少 mb/s?如果没有,我应该怎么找到它?

编辑: --------------------------------------------

你们也可以自由发表您的反击想法。我所需要的只是找到攻击者的 IP、他发送的数据包数据以及以 mb/s 为单位向我的服务器输入的数据。我的客户不会进行超过 300kb/s 的输入,所以如果我们设置一个过滤器来捕获超过 1mb/s 的输入,我们就可以捕获它。

logging networking tcpdump

6 个回答

  1. 它就在手册页中,tcpdump有-G,

    If specified, rotates the dump file specified with the -w option every
rotate_seconds seconds. Savefiles will have the name specified by -w
which should include a time format as defined by strftime(3). If no
time format is specified, each new file will overwrite the previous.

    因此,tcpdump -i eth0 -s 65535 -G 86400 -w /var/log/caps/%F.pcap将写入 /var/log/caps/%F.pcap(其中 %F 将是 2012-05-10、2012-05-11、2012-05-12 等)。请记住,它会从您启动上限后 24 小时轮换一次,因此从技术上讲,它不是每天轮换一次,除非您在午夜运行它。

    我并不是说您打算做的事情是个好主意,只是说这就是您要求的解决方案。

    • 15
  2. Best Answer

    与其记录所有流量,我建议如下: 监控发送到您的服务器的数据包数量。如果超过某个阈值,记录几个 1000 个数据包,然后等待更长的时间。

    该数据包跟踪应包含大量可用于分析的信息。此外,在一切正常的情况下,它不会对您的服务器施加过多的额外负载。您可以使用以下一起破解的 bash 代码作为起点(screen例如,可以从 开始):

    interface=eth0
dumpdir=/tmp/

while /bin/true; do
  pkt_old=`grep $interface: /proc/net/dev | cut -d :  -f2 | awk '{ print $2 }'`
  sleep 1
  pkt_new=`grep $interface: /proc/net/dev | cut -d :  -f2 | awk '{ print $2 }'`

  pkt=$(( $pkt_new - $pkt_old ))
  echo -ne "\r$pkt packets/s\033[0K"

  if [ $pkt -gt 5000 ]; then
    echo -e "\n`date` Under attack, dumping packets."
    tcpdump -n -s0 -c 2000 -w $dumpdir/dump.`date +"%Y%m%d-%H%M%S"`.cap
    echo "`date` Packets dumped, sleeping now."
    sleep 300
  fi
done

    随意根据您的需要进行调整。

    • 7

  3. 您当然可以从 tcpdump 获取该数据,但这并不完全简单。

    首先,tcpdump 写入一种特殊的文件格式,它不是日志文件,因此您需要另一个 tcpdump 实例或 Wireshark 来分析日志文件。但这里有一个基本的建议:

    • 编写一个脚本来杀死任何正在运行的 tcpdump 并启动​​一个新的脚本,该脚本将写入名称中包含当天日期的日志文件
    • 每个午夜从 cron 运行该脚本
    • 有一个 cron 条目可以清除存储日志文件的目录中超过 3 天的文件

    请注意,tcpdump 会提供大量输出,因此您需要大量可用磁盘空间!

    • 4

  4. 如果你在 Linux 上,你可以使用 logrotate。

    就像是

       /var/log/dump.pcap {
       rotate 3
       daily
       postrotate
           /usr/bin/killall tcpdump
           /usr/sbin/tcpdump options -w /var/log/dump.pcap
       endscript
   }

    这个 logrotate 配置将进入 eg /etc/logrotate.d/tcpdump

    您可能有一行/etc/crontab或者像我一样有一个/etc/cron.daily/logrotate调用 logrotate 的脚本。

    Logrotate 将在处理此文件时将其重命名为/var/log/dump.pcap.1/var/log/dump.pcap.2等。然后,当所有这些文件都被重命名并删除最旧的文件时(在本例中将在重命名 .1 到 .2 之前被删除),它将执行. 不幸的是,tcpdump 不提供 kill -HUP 用于其他守护进程(如 httpd)的服务,因此此配方将其杀死,然后开始新的捕获。/var/log/dump.pcap/var/log/dump.pcap.1/var/log/dump.pcap.2postrotate

    请注意,第一天您可能希望手动启动 tcpdump。

    这是未经测试的,但应该可以解决问题。

    • 3

  5. darkstat这样的东西可能对识别高流量主机更有用,尽管它不会存储实际流量(尽管它会记录端口号)。

    • 1

  6. 我已经使用tshark来执行此操作,但您需要小心。

    tshark -i eth0 -a duraition:86400 -b -w x.pcap

    或者您可以设置复杂的输出格式选项并重定向标准输出。问题是 tshark 从不丢弃接收到的数据包,因此它最终会耗尽内存。跑得越短越好。

    我喜欢的另一种技术是使用 iptables 和 ULOG。周围有几个 ulog 守护进程可以将内容发送到普通日志文件。我还使用 spectre 将 ulog 报告转换为消息。

    • 0

相关问题