← Back to team overview

sslug-teknik team mailing list archive

Trafik statistik p�oks med iptables ?

 

Hej!

 Jeg har ganske vist haft spurgt i dk.edb.system.unix - men fik ikke lige et
svar, som jeg syntes gav mig den info, jeg havde behov for. Måske kan en
eller anden her give lidt mere fyldig info - eller hints ;-)

 Jeg sad sidste weekend og rodede med Astaro Security Linux hos en kammerat,
og så, at der var postscan detection samt en form for traffic accounting. I
dk.edb.system.unix fik jeg et svar at jeg kunne opnå det samme med
Snort+Snortsnarf. Jeg ved godt, at Snort kan bruges til at detektere
portscans, men jeg tror ikke, at det er den, som bliver brugt i Astaro (der
bliver tilsyneladende også lavet en mildertidig "drop" på alle pakker fra
den portscannende adresse).
 Ved søgning på nettet fandt jeg frem til dette link:
http://www.oreilly.com/catalog/linag2/book/ch10.html
 For at få at vide hvor meget web-trafik, der har været skal jeg sikkert
lave en

iptables -L -v

Kræver det så bare en ordentlig gang behandling af outputtet for at få
statistikken ?? Og hvad hvis man tillader alt udgående trafik med en enkelt
regel - så kan man vel ikke hvis statistik ud via iptables på de forskellige
services?
Næste punkt er top 10 source/destination adresser - hvordan pokker får man
den information ud ? Man skal måske have sat det eksterne ethernet interface
i promiscuous mode - og så have et eller andet til at samle statistik - men
findes der noget færdigt (statistik pr. døgn er helt ok) ?

/Brian






Follow ups