Как отследить сканирование на других серверах?

Question

Как отследить сканирование на других серверах?

У меня проблема с пользователями, злоупотребляющими ресурсами сервера и соединениями.

У меня есть сервер с доступом к нескольким пользователям. один из них выполняет сканирование сети, злоупотребляя сетью.

Я попытался использовать tcpdump, но безуспешно, так как не знаю, как искать нужную информацию, все, что у меня есть, - это анализ из центра обработки данных.

Я также попытался определить трафик через iftop и syslog.

Вы можете помочь?

2

networking server tcpdump

Источник

Vitalik Jimbei 30 окт '15 в 09:20

1 ответ

Решение

Другие вопросы по тегам networking server tcpdump

2707974 30 окт '15 в 11:27 2015-10-30 11:27 · Accepted Answer · 2015-10-30 11:27

С командой, если вы используете сервер pptp

last |grep ppp

увидим, как то так

xxxxx1   ppp0         xxx.xxx.xx.5     Fri Oct 30 11:19   still logged in   
xxxxx1   ppp0         xxx.xxx.xx.5     Fri Oct 30 11:18 - 11:19  (00:00)    
xxxxx1   ppp0         xxx.xxx.xx.5     Fri Oct 30 11:17 - 11:18  (00:01)    
xxxxx    ppp0         xxx.xxx.xx.6     Fri Oct 30 11:13 - 11:16  (00:03)    
xxxxx    ppp0         xxx.xxx.xx.6     Wed Oct  7 12:37 - 12:50  (00:13)    
xxxxx    ppp0         xxx.xxx.xx.6     Wed Oct  7 12:34 - 12:35  (00:01)

Пользователь pptp. длительность подключения также начинается и заканчивается. По времени злоупотребления вы можете сравнить время подключения vpn и найти пользователя vpn. Я думаю, один человек использует один пользователь vpn.

Вы можете добавить фиксированный IP-адрес для каждого пользователя VPN и после этого отслеживать трафик с iptables Очень хороший пример для подбора ip accounting у вас есть здесь