как отследить сканирование на других серверах?
У меня есть проблема с пользователями, злоупотребляющими ресурсами сервера и соединениями.
У меня есть сервер с доступом к нескольким пользователям. один из них выполняет сетевые сканирования, злоупотребляя сетью.
Я пытался использовать tcpdump, но без удачи, поскольку я не знаю, как искать правильную информацию, все, которое я имею, анализ от дата-центра.
Я также попытался определить трафик через iftop и системный журнал.
Можно ли помочь?
1 ответ
С командой, если Вы используете pptp сервер
last |grep ppp
, будет видеть, что-то вроде этого
xxxxx1 ppp0 xxx.xxx.xx.5 Fri Oct 30 11:19 still logged in
xxxxx1 ppp0 xxx.xxx.xx.5 Fri Oct 30 11:18 - 11:19 (00:00)
xxxxx1 ppp0 xxx.xxx.xx.5 Fri Oct 30 11:17 - 11:18 (00:01)
xxxxx ppp0 xxx.xxx.xx.6 Fri Oct 30 11:13 - 11:16 (00:03)
xxxxx ppp0 xxx.xxx.xx.6 Wed Oct 7 12:37 - 12:50 (00:13)
xxxxx ppp0 xxx.xxx.xx.6 Wed Oct 7 12:34 - 12:35 (00:01)
пользователь PPTP. продолжительность соединения также запускается и заканчивается. На основе времени злоупотребления можно сравнить время соединения VPN и найти пользователя VPN. Я предполагаю, одно использование человека один пользователь VPN.
можно добавить зафиксированный IP-адрес на пользователя VPN и после того контрольного трафика с iptables Очень хороший пример для установки ip accounting, Вы имеете здесь