Traffic: Unterschied zwischen den Versionen

Aus Hostsharing Wiki
Zur Navigation springen Zur Suche springen
K (Ergänzung Traffic erkennen – reagieren)
Zeile 11: Zeile 11:
<pre><nowiki>
<pre><nowiki>
cat var/web.log |cut -d ' ' -f11 |sort -n |uniq -c |sed -e's/^ *//' \
cat var/web.log |cut -d ' ' -f11 |sort -n |uniq -c |sed -e's/^ *//' \
|while read FACTOR SUM; do
|while read FACTOR SUM; do \
echo "$((${FACTOR} * ${SUM})) ${FACTOR} ${SUM}";
echo "$((${FACTOR} * ${SUM})) ${FACTOR} ${SUM}";\
done |sort -n
done |sort -n
</nowiki></pre>
</nowiki></pre>
Zeile 23: Zeile 23:
(Bemerkung: das Produkt aus Einzelvolumen und Häufigkeit der Zugriffe
(Bemerkung: das Produkt aus Einzelvolumen und Häufigkeit der Zugriffe
ist entscheidend.)
ist entscheidend.)


=== Wie bekomme ich IPs mit massenhaften Web-Zugriffen erkannt und gesperrt? ===
=== Wie bekomme ich IPs mit massenhaften Web-Zugriffen erkannt und gesperrt? ===

Version vom 13. November 2014, 23:01 Uhr

Traffic

Als Traffic bezeichnet man Datenverkehr zwischen zwei Computersystemen.

Dies beinhaltet Web, Mail und FTP Verbindungen.

Traffic erkennen

Wie bekomme ich heraus, welche Web-Zugriffe für mein Traffic-Volumen maßgeblich verantwortlich sind?

cat var/web.log |cut -d ' ' -f11 |sort -n |uniq -c |sed -e's/^ *//' \
	|while read FACTOR SUM; do \
		echo "$((${FACTOR} * ${SUM})) ${FACTOR} ${SUM}";\
	done |sort -n
  • Zeile 1: Traffic aus dem Log extrahieren, sortieren, zählen.
  • Zeile 2: über die Einträge wandern
  • Zeile 3: Product aus Zugriffen und Einzelvolumen berechnen
  • Zeile 4: Ausgabe von Produkt, Zugriffen und Einzelvolume je Zugriff
  • Zeile 5: sortieren

(Bemerkung: das Produkt aus Einzelvolumen und Häufigkeit der Zugriffe ist entscheidend.)

Wie bekomme ich IPs mit massenhaften Web-Zugriffen erkannt und gesperrt?

Als Paketadmin alle IPs mit 10.000 und mehr Web-Zugriffen aus dem heutigen Log filtern und dafür Sperreinträge erzeugen, die man in die .htaccess kopieren kann:

cat ${HOME}/var/web.log |cut -d ' ' -f2 |sort |uniq -c \
	|sed -e's/^ *//' |egrep '^[0-9]{5,} .*$' |cut -d ' '  -f 2 \
	|xargs -n1 -r -I XXX "echo deny from XXX"
  • Zeile 1: Log auswerten und IPs extrahieren und zählen
  • Zeile 2: Filtern
  • Zeile 3: Einträge erzeugen

Es bietet sich in beiden Fällen an, im Logfile mit grep nach den IPs oder dem Vorkommen des Traffics mit grep zu suchen, um weitere Erkenntnisse zu erlangen.