OVH Community, votre nouvel espace communautaire.

Trouver l'ip responsable d'un pic anormal d'activitée


PO, maitre PHP
18/02/2004, 14h35
le mod_throttle d'apache permet de faire ca automatiquement non ? en limitant la BP ou les hits par IP distante.

OVH
18/02/2004, 14h28
Lorsque vous cherchez une ip responsable des attaques, il faut recouper les informations entre netstat (aussi bien ESTA que les SYN ou ACK), les informations que vous pouvez trouver dans server-status (il y a un guide à ce sujet) et les logs qui se trouvent dans /usr/local/apache/logs. Vous arriverez à ce moment de savoir quels sont les ip qui se sont connectés et savoir exactement combien de fois, combien toujours en cours et sur quelle page. En recoupant toutes ces informations vous arrivez à determiner une ip que nous vous conseilons de ne pas blacklister mais simplement limiter en bande passante ou/et en nombre des syn que vous accepterez. Comme ça même si vous faites une erreurs l'erreur n'est pas si grave que ça.

PO, maitre PHP
18/02/2004, 14h12
peut-être en faisant un scirpt ssh qui analyse les sorties de ta ligne de commande à intervalle régulier ou les résultats d'un tcpdump, à mon avis c jouable, ca doit même déjà exister

alain.lc
17/02/2004, 21h59
bonjour,

aujourdh'ui j'ai eu un gros pic d'activiter sur mon serveur, à chaque foit meme pb, retrouver le fautif :

netstat -tanp | grep ESTABLISHED | grep http | awk {'print $5'} | sort -n

c'est pas evident d'y trouver le coupable, il faut faire cette commande plusieurs foit pour eventuellement trouver l'ip qui revient trop souvent et en grosse quantité ...
j'ai donc l'intention de me lancer dans le devellopement d'un outil qui me facilitera la vie

question, est-ce que certain d'entre vous on le meme pb ? si oui qu'elle est votre solution ?
si pas de soluce, ya à t'il des volontaires pour faire ensemble cet outils ?

A+