Traffic: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
KKeine Bearbeitungszusammenfassung |
K (Ergänzung Traffic erkennen – reagieren) |
||
| Zeile 4: | Zeile 4: | ||
Dies beinhaltet [[Logging#HTTP-Traffic|Web]], [[Logging#Mail-Traffic|Mail]] und [[Logging#FTP-Traffic|FTP]] Verbindungen. | Dies beinhaltet [[Logging#HTTP-Traffic|Web]], [[Logging#Mail-Traffic|Mail]] und [[Logging#FTP-Traffic|FTP]] Verbindungen. | ||
-- | ===Traffic erkennen=== | ||
Wie bekomme ich heraus, welche Web-Zugriffe für mein Traffic-Volumen | |||
maßgeblich verantwortlich sind? | |||
<pre><nowiki> | |||
cat var/web.log |cut -d ' ' -f11 |sort -n |uniq -c |sed -e's/^ *//' \ | |||
|while read FACTOR SUM; do | |||
echo "$((${FACTOR} * ${SUM})) ${FACTOR} ${SUM}"; | |||
done |sort -n | |||
</nowiki></pre> | |||
* Zeile 1: Traffic aus dem Log extrahieren, sortieren, zählen. | |||
* Zeile 2: über die Einträge wandern | |||
* Zeile 3: Product aus Zugriffen und Einzelvolumen berechnen | |||
* Zeile 4: Ausgabe von Produkt, Zugriffen und Einzelvolume je Zugriff | |||
* Zeile 5: sortieren | |||
(Bemerkung: das Produkt aus Einzelvolumen und Häufigkeit der Zugriffe | |||
ist entscheidend.) | |||
=== Wie bekomme ich IPs mit massenhaften Web-Zugriffen erkannt und gesperrt? === | |||
Als Paketadmin alle IPs mit 10.000 und mehr Web-Zugriffen aus dem | |||
heutigen Log filtern und dafür Sperreinträge erzeugen, die man in die | |||
.htaccess kopieren kann: | |||
<pre><nowiki> | |||
cat ${HOME}/var/web.log |cut -d ' ' -f2 |sort |uniq -c \ | |||
|sed -e's/^ *//' |egrep '^[0-9]{5,} .*$' |cut -d ' ' -f 2 \ | |||
|xargs -n1 -r -I XXX "echo deny from XXX" | |||
</nowiki></pre> | |||
* Zeile 1: Log auswerten und IPs extrahieren und zählen | |||
* Zeile 2: Filtern | |||
* Zeile 3: Einträge erzeugen | |||
Es bietet sich in beiden Fällen an, im Logfile mit grep nach den IPs | |||
oder dem Vorkommen des Traffics mit grep zu suchen, um weitere | |||
Erkenntnisse zu erlangen. | |||
[[Kategorie:HSDoku]] | [[Kategorie:HSDoku]] | ||
[[Kategorie:Glossar]] | [[Kategorie:Glossar]] | ||
[[Kategorie:Traffic]] | [[Kategorie:Traffic]] | ||
Version vom 13. November 2014, 23:00 Uhr
Traffic
Als Traffic bezeichnet man Datenverkehr zwischen zwei Computersystemen.
Dies beinhaltet Web, Mail und FTP Verbindungen.
Traffic erkennen
Wie bekomme ich heraus, welche Web-Zugriffe für mein Traffic-Volumen maßgeblich verantwortlich sind?
cat var/web.log |cut -d ' ' -f11 |sort -n |uniq -c |sed -e's/^ *//' \
|while read FACTOR SUM; do
echo "$((${FACTOR} * ${SUM})) ${FACTOR} ${SUM}";
done |sort -n
- Zeile 1: Traffic aus dem Log extrahieren, sortieren, zählen.
- Zeile 2: über die Einträge wandern
- Zeile 3: Product aus Zugriffen und Einzelvolumen berechnen
- Zeile 4: Ausgabe von Produkt, Zugriffen und Einzelvolume je Zugriff
- Zeile 5: sortieren
(Bemerkung: das Produkt aus Einzelvolumen und Häufigkeit der Zugriffe ist entscheidend.)
Wie bekomme ich IPs mit massenhaften Web-Zugriffen erkannt und gesperrt?
Als Paketadmin alle IPs mit 10.000 und mehr Web-Zugriffen aus dem heutigen Log filtern und dafür Sperreinträge erzeugen, die man in die .htaccess kopieren kann:
cat ${HOME}/var/web.log |cut -d ' ' -f2 |sort |uniq -c \
|sed -e's/^ *//' |egrep '^[0-9]{5,} .*$' |cut -d ' ' -f 2 \
|xargs -n1 -r -I XXX "echo deny from XXX"
- Zeile 1: Log auswerten und IPs extrahieren und zählen
- Zeile 2: Filtern
- Zeile 3: Einträge erzeugen
Es bietet sich in beiden Fällen an, im Logfile mit grep nach den IPs oder dem Vorkommen des Traffics mit grep zu suchen, um weitere Erkenntnisse zu erlangen.