The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Как выявить на какой хост идет трафик?"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Linux iptables, ipchains)
Изначальное сообщение [ Отслеживать ]

"Как выявить на какой хост идет трафик?"  +/
Сообщение от shurc (ok), 12-Янв-20, 22:38 
Доброго времени суток, уважаемые форумчане.
Исходные данные:
- Роутер DIR300
- прошивка: Firmware: DD-WRT v24-sp2
- подключен к интернет и имеет постоянный внешний IP

Вопрос: можно ли с помощью правил в iptables как-то определить на какой хост (IP) идет трафик, если он  
превышает определенное значение?

Ну например, если трафик на какой-то хост более 1Мб/сек, то сделать запись в лог (чтобы в логе можно было  
увидеть, на какой IP этот трафик идет). Разумеется количество записей в лог можно ограничить, чтобы не засорять.
Хотя даже можно не байты считать, а количество пакетов в сек - и этого будет достаточно.

Насколько я понимаю, надо:
- все пакеты с состоянием ESTABLISHED,RELATED как-то разделять: на каждый IP - своя метка
- потом подсчитывать по каждой метке колич. пакетов за определенной время
- потом уже записать в лог информацию кто и откуда льет трафик

Но как это реализовать с помощью правил не знаю. Может, кто что подскажет?
Буду благодарен :)


p.s.
Если с помощью IPtables это сделать нельзя, то, может быть, подскажете, какие другие варианты возможны?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Как выявить на какой хост идет трафик?"  +/
Сообщение от Аноним (1), 13-Янв-20, 04:48 
Иптабли тут не очень помогут. Если костылять на коленке, то можно смотреть заголовки пакетов tcpdump'ом и считать в них айпишники awk'ом.
Ответить | Правка | Наверх | Cообщить модератору

2. "Как выявить на какой хост идет трафик?"  +/
Сообщение от ACCA (ok), 13-Янв-20, 07:10 
> Если с помощью IPtables это сделать нельзя, то, может быть, подскажете, какие
> другие варианты возможны?

Для dd-wrt есть пакет iftop.

В Tomato функция IP-Traffic доступна через WebUI, просто кликни галочку.

Ответить | Правка | Наверх | Cообщить модератору

3. "Как выявить на какой хост идет трафик?"  +/
Сообщение от Andrey Mitrofanov_N0 (??), 13-Янв-20, 08:36 
> - Роутер DIR300

...

> Вопрос: можно ли с помощью правил в iptables как-то определить на какой
> Ну например, если трафик на какой-то хост более 1Мб/сек, то сделать запись
> в лог (чтобы в логе можно было
> p.s.
> Если с помощью IPtables это сделать нельзя, то, может быть, подскажете, какие
> другие варианты возможны?

Другие варианты, один из, видимо, искать по слову  netflow.

Ответить | Правка | Наверх | Cообщить модератору

4. "Как выявить на какой хост идет трафик?"  +/
Сообщение от fantom (??), 13-Янв-20, 11:27 
>[оверквотинг удален]
> - все пакеты с состоянием ESTABLISHED,RELATED как-то разделять: на каждый IP -
> своя метка
> - потом подсчитывать по каждой метке колич. пакетов за определенной время
> - потом уже записать в лог информацию кто и откуда льет трафик
> Но как это реализовать с помощью правил не знаю. Может, кто что
> подскажет?
> Буду благодарен :)
> p.s.
> Если с помощью IPtables это сделать нельзя, то, может быть, подскажете, какие
> другие варианты возможны?

Мегабиты в ИПтаблзе - нельзя, а вот Пакеты в секунду можно, вот только умеет ли это iptables в dd-wrt незнаю.

Ответить | Правка | Наверх | Cообщить модератору

5. "Как выявить на какой хост идет трафик?"  +/
Сообщение от Аноним (5), 16-Янв-20, 20:45 
Гуглить не пробовали?

https://catonmat.net/traffic-accounting-with-iptables

Ответить | Правка | Наверх | Cообщить модератору

6. "Как выявить на какой хост идет трафик?"  +/
Сообщение от shurc (ok), 17-Янв-20, 01:01 
> Гуглить не пробовали?
> https://catonmat.net/traffic-accounting-with-iptables

Я эту статью уже давно читал и она мне во многом помогла когда-то. Но моего вопроса, открытого в данной теме, она не решает.

Ответить | Правка | Наверх | Cообщить модератору

7. "Как выявить на какой хост идет трафик?"  +/
Сообщение от Аноним (5), 17-Янв-20, 02:04 
>> Гуглить не пробовали?
>> https://catonmat.net/traffic-accounting-with-iptables
> Я эту статью уже давно читал и она мне во многом помогла
> когда-то. Но моего вопроса, открытого в данной теме, она не решает.

Там все, что касается iptables и извлечение данных из его счетчиков.
Далее всего-то надо скрипт в крон, который раз в минуту будет брать эти счетчики, анализировать и тут же обнулять. Это вам как раз даст среднюю загрузку канала, измеренную за минуту. Лог системный.

Ответить | Правка | Наверх | Cообщить модератору

8. "Как выявить на какой хост идет трафик?"  +/
Сообщение от Licha Morada (ok), 17-Янв-20, 06:24 
> p.s.
> Если с помощью IPtables это сделать нельзя, то, может быть, подскажете, какие
> другие варианты возможны?

Если вам не столько для "ограничить", сколько для "посмотреть", то я это решал с помощью pmacct. На "большом" софтовом роутере на x86 с "большим" Линуксом.

Говорят, pmacct на OpenWRT портировали:
https://www.mail-archive.com/pmacct-discussion@pmacct.n...
В случае с DIR300, хранение и обработку придётся вести на внешнем устройстве, у этого ресурсов маловато.
https://openwrt.org/toh/hwdata/d-link/d-link_dir-300_b1

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру