Outgoing Traffic loggen

[Fabianr]

Hallo Community ,

Ich habe von meinen Root Anbieter die Info erhalten das von meinen Server diverse Angriffe durchgeführt werden (DDoS) und dadurch möchte ich meinen Outgoing Traffic Loggen.

Zurzeit überwache ich Live mein traffic mit nload -t 1000 aber wie log ich das ?

Danke für jede Hilfe

[Inkodiktus]

Das ist keine Hilfe, aber ich kann meine alten Docs raussuchen, irgendwo stand da was mit iptables und logen.
Kann ja die Zeilen reinkopieren.

Edit:

Code: Alles auswählen

# ***********
# * LOGGING *
# ***********
# Alles was bis hier kommt, mitprotokollieren
iptables -A OUTPUT -j LOG --log-prefix "Nicht raus: "
iptables -A FORWARD -j LOG --log-prefix "Nicht durch: "
iptables -A INPUT -j LOG --log-prefix "Nicht rein: "
echo "."
;;

Vielleicht kannst du damit was anfangen
Viel Spaß beim konfigurieren

[wanne]

Logging ist ein ganz großes Kapitel für sich.
Hier eine übersicht über sehr primitive tools: http://wiki.ubuntuusers.de/Netzwerk-Monitoring
Die lösung von Inkodiktus ist zwar theoretisch absolut richtig aber das kann dir gerne mal ein paar hunder Logeinträge pro Sekunde produzieren. => Eher nicht so lesbar.
Du kannst da sowas draus machen:

Code: Alles auswählen

iptables -A  OUTPUT -p tcp -m tcp --syn -j LOG --log-prefix "Nicht raus: "

Das gibt dann erstmal nur von dir initiierte TCP Verbindungen. Defakto sollte es die auf den meisten Servern eigentlich gar nicht geben (Außnahmen sind z.B. FTP oder zugriffe auf externe Datenbankserver). Aber sie sind wahnsinnig beliebt für DOS.
Ansonsten, wenn du eigentlich nur TCP-Dienste anbietest (Webserver ssh läuft über TCP):

Code: Alles auswählen

iptables -A  OUTPUT ! -p tcp -j LOG --log-prefix "Nicht TCP: "

Defakto ist Logging auf einem infinzierten System aber ziemlich sinnlos. Das kann man immer manipulieren.

[Cae]

Defakto ist Logging auf einem infinzierten System aber ziemlich sinnlos. Das kann man immer manipulieren.

Kommt drauf an, wie weit das Ding offen ist. Ein per verwundbarem CMS eingeschleppter als www-data laufender Schaedling hat kein Problem damit, sowas wie

Code: Alles auswählen

target=
for i in $(seq 23); do
	netcat -u "$target" 53 </dev/zero >/dev/null 2>&1 &
done

zu starten. Im Logging oder gar im iptables-LOG-Target kann er aber troztdem nix veraendern.

Gruss Cae

[ThorstenS]

Ich benutze vnstat zum Überwachen meines Traffics

Das Script hier erzeugt dir für jedes Interface eine eigene Datenbank

Code: Alles auswählen

#!/bin/bash
# Dieses Skript erzeugt die Datenbankdateien für vnstat.

test -x /usr/bin/vnstat || exit 0

for i in $(ls /sys/class/net/) ; do
	[ "$i" = "lo" ] && continue
	test -e /sys/class/net/$i || continue
	test -f /var/lib/vnstat/$i || vnstat -u -i $i
done
exit 0

Darüberhinaus kann vnstati hübsche Grafiken erzeugen: https://www.google.de/search?q=vnstati&tbm=isch&sa=X

[Fabianr]

Danke Danke Danke leute , werde ein paar Lösungen heute gleich Probieren (bin grad in der Arbeit) und melde mich dann.

zurzeit teste ich das Loggin mit TCPDUMP aber das erzeugt wie oben schonmal erwähnt einen Logdatei über die 100GB über nacht -.-

[uname]

Zur Minimierung der Datenmenge reicht es vielleicht erst mal nur die einzelnen Sockets (z.B. mit netstat) ohne Dateninhalt zu ermitteln, die zur Kommunikation genutzt werden. Darüber kann man dann z.B. mit lsof Rückschlüsse auf die Prozesse und dann mit strace Rückschlüsse auf die Software schließen.

Etwas offtopic:
Ich nutze trotz Hackerparagraphen gerne mal dnsiff. Hiervon nutze ich "urlsnarf" um auf den Devices zu sehen was so an HTTP-Traffic übertragen wird. Ist ganz praktisch wenn ich mal aus irgendeiner Mediathek ein Video downloaden möchte, welches z.B. hinter irgendeinem Flash oder sonstwas versteckt wird. Ist dann etwas anspruchsvoller zu finden als gleich eine Software wie youtube-dl darauf loszulassen

Ich habe von meinen Root Anbieter die Info erhalten das von meinen Server diverse Angriffe durchgeführt werden (DDoS)

Da dein Provider mehr vom Vorfall weiß als wir beide zusammen würde ich den Server auf jeden Fall neu installieren.

[mat6937]

zurzeit teste ich das Loggin mit TCPDUMP aber das erzeugt wie oben schonmal erwähnt einen Logdatei über die 100GB über nacht -.-

Auch dann wenn Du einen Filter für tcpdump (Server als "source host" und nur das "tcp-syn-flag") benutzt, z. B.:

Code: Alles auswählen

sudo tcpdump -vvveni any src host <(interne-)IP-Adresse-Server> and "tcp[tcpflags] & (tcp-syn) != 0"

?

EDIT:

Wenn Du prüfen willst ob dieser tcpdump-Filter richtig funktioniert, dann kannst Du von deinem Server, aus einer anderen Konsole, ein Datenpaket mit dem tcp-syn-flag senden, mit z. B.:

Code: Alles auswählen

nc -v -n -z -w 1 193.99.144.80 80

, das von tcpdump geloggt/erfasst werden sollte.

[Cae]

Logdatei über die 100GB über nacht -.-

Mach' die Kiste bitte tot, wenn du da pro Tag 200 GB Roh-Traffic hast, von dem du nicht weisst, wo er herkommt. Falls davon drei Viertel lokales ARP und irgendwelcher eingehender Traffic sind, mag das ja okay sein, aber so sicher nicht.

Gruss Cae