Traffic: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
K (Ergänzung Traffic erkennen – reagieren) |
|||
Zeile 11: | Zeile 11: | ||
<pre><nowiki> | <pre><nowiki> | ||
cat var/web.log |cut -d ' ' -f11 |sort -n |uniq -c |sed -e's/^ *//' \ | cat var/web.log |cut -d ' ' -f11 |sort -n |uniq -c |sed -e's/^ *//' \ | ||
|while read FACTOR SUM; do | |while read FACTOR SUM; do \ | ||
echo "$((${FACTOR} * ${SUM})) ${FACTOR} ${SUM}"; | echo "$((${FACTOR} * ${SUM})) ${FACTOR} ${SUM}";\ | ||
done |sort -n | done |sort -n | ||
</nowiki></pre> | </nowiki></pre> | ||
Zeile 23: | Zeile 23: | ||
(Bemerkung: das Produkt aus Einzelvolumen und Häufigkeit der Zugriffe | (Bemerkung: das Produkt aus Einzelvolumen und Häufigkeit der Zugriffe | ||
ist entscheidend.) | ist entscheidend.) | ||
=== Wie bekomme ich IPs mit massenhaften Web-Zugriffen erkannt und gesperrt? === | === Wie bekomme ich IPs mit massenhaften Web-Zugriffen erkannt und gesperrt? === |
Version vom 13. November 2014, 23:01 Uhr
Traffic
Als Traffic bezeichnet man Datenverkehr zwischen zwei Computersystemen.
Dies beinhaltet Web, Mail und FTP Verbindungen.
Traffic erkennen
Wie bekomme ich heraus, welche Web-Zugriffe für mein Traffic-Volumen maßgeblich verantwortlich sind?
cat var/web.log |cut -d ' ' -f11 |sort -n |uniq -c |sed -e's/^ *//' \ |while read FACTOR SUM; do \ echo "$((${FACTOR} * ${SUM})) ${FACTOR} ${SUM}";\ done |sort -n
- Zeile 1: Traffic aus dem Log extrahieren, sortieren, zählen.
- Zeile 2: über die Einträge wandern
- Zeile 3: Product aus Zugriffen und Einzelvolumen berechnen
- Zeile 4: Ausgabe von Produkt, Zugriffen und Einzelvolume je Zugriff
- Zeile 5: sortieren
(Bemerkung: das Produkt aus Einzelvolumen und Häufigkeit der Zugriffe ist entscheidend.)
Wie bekomme ich IPs mit massenhaften Web-Zugriffen erkannt und gesperrt?
Als Paketadmin alle IPs mit 10.000 und mehr Web-Zugriffen aus dem heutigen Log filtern und dafür Sperreinträge erzeugen, die man in die .htaccess kopieren kann:
cat ${HOME}/var/web.log |cut -d ' ' -f2 |sort |uniq -c \ |sed -e's/^ *//' |egrep '^[0-9]{5,} .*$' |cut -d ' ' -f 2 \ |xargs -n1 -r -I XXX "echo deny from XXX"
- Zeile 1: Log auswerten und IPs extrahieren und zählen
- Zeile 2: Filtern
- Zeile 3: Einträge erzeugen
Es bietet sich in beiden Fällen an, im Logfile mit grep nach den IPs oder dem Vorkommen des Traffics mit grep zu suchen, um weitere Erkenntnisse zu erlangen.