monitorear la velocidad de paquetes de red por IP

tag-icon tag-icon networking monitoring packet-capture
monitorear la velocidad de paquetes de red por IP

Mi problema es que tengo un informe de que mi IP se utilizó en un ataque de DOS. El problema es que no sé qué computadora está infectada y el ataque ya no está activo.

¿Existe una herramienta de Linux sencilla para mi enrutador (que ejecuta Fedora) que cuente la velocidad de paquetes por IP local y, si supera la constante seleccionada, iniciará mi script de shell?

Tenga en cuenta que también estoy interesado en los paquetes generados desde el host local (en caso de que el servidor haya sido pirateado).

Respuesta1

Entonces encontré una solución usando iptables:

# create new chain for every local ip we wanna monitor
iptables -N ip10     
# forward traffic from monitored IP to it's chain "ip10"
iptables -A FORWARD -i myLan -s 192.168.2.10 -o myWan -j ip10  
# trafic from other IP's we trusted we just accept
iptables -A FORWARD -i myLan -o myWan -j ACCEPT
# here we have even better thing than I asked for 
# we can ban the DOS attack before it gets out
# in following line we set maximum 100 packet per second
iptables -A ip10 -m limit --limit 100/s --limit-burst 300 -j ACCEPT
# here we can directly log if above limit is breached
# log will be in /var/log/message and it will contains IP src+dst, src mac and other info
# note limit 3 msg per minute is important to not have too big log file
iptables -A ip10 -m limit --limit 3/m --limit-burst 10 -j LOG --log-prefix 'mylog:' --log-level 4
# finally packets over limit will be discarded
iptables -A ip10 -j DROP

También puede ver los paquetes enviados y su tamaño desde una IP y luego puede obtenerlos llamando a:

iptables -L ip10 -vxn

necesitaría hacerlo en algún script y contarlo en paquetes por segundo si está interesado

Nota para monitorear el servidor en sí, necesitaría realizar un enfoque similar para la cadena

iptables -A OUTPUT

probado en fedora 18. Intenté atacar mi otra computadora y los paquetes realmente se detuvieron :)

Respuesta2

Este es un escenario típico paraflujo neto. Le brindaría datos históricos de su tráfico desglosados ​​en direcciones, protocolos y puertos que podría evaluar y observar en gráficos sofisticados.

información relacionada