LINUX.ORG.RU

Мониторинг сети


0

1

Всем привет.

Такая задачка. Есть сервер приложения, у приложения одновременно по UDP 200-500 пользователей. Ко всему этому добавляются запросы Состояния сервера, поступающие от пользователей, которые запустили клиент, но еще не выбрали сервер для работы. Их тоже много, сотни могут быть одновременно.

В приложении есть уязвимость. И в какой-то момент на него подключается пользователь, который отправляет специально сформированные пакеты. Код приложения проприетарный. В итоге сервер приложения падает.

Мониторил трафик, пытался выявить аномалии, всплески с определенных хостов, однотипные пакеты. Пытался сравнивать список хостов до и после начала атаки. В общем, ничего не помогло.

Специалисты по безопасности, подскажите, как быть? Как выявить тот самый хост, с которого кладут сервер? Было бы здорово иметь приложение-монитор соединений на порт, в котором можно было бы указать порог включений. Чтобы во время начала атаки можно было увидеть вверху списка новые IP адреса, которые только что начали отправлять пакеты, но со скоростью не меньшей, чем указанная. Тогда уже по этим IP я бы мог подробнее изучать вопрос. Но такого приложения нет.

Задача не теоретическая, а практическая.

SNORT во все поля. Он как раз для этого и создан.

но если только на сервере анализ то можно tcpdump заюзать с кучей самописных скриптов.

MikeDM ★★★★★ ()

tcpdump с «кольцевым буфером» (ротацией дампов)

zolden ★★★★★ ()

Либо snort, либо другую ids. Правда ids не панацея - они не отследят атаку, если на уязвимость нет сигнатуры.

JaL ()

А был ли мальчик? Может, он просто падает, от нагрузки?

segfault ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.