我遇到用户滥用服务器资源和连接的问题。
我有一个可供多个用户访问的服务器。其中一个用户正在执行滥用网络的网络扫描。
我尝试使用 tcpdump,但没有成功,因为我不知道如何搜索正确的信息,我所拥有的只是来自数据中心的分析。
我也尝试过通过 iftop 和 syslog 发现流量。
你能帮我吗 ?
答案1
使用命令,如果你使用 pptp 服务器
last |grep ppp
会看到这样的事情
xxxxx1 ppp0 xxx.xxx.xx.5 Fri Oct 30 11:19 still logged in
xxxxx1 ppp0 xxx.xxx.xx.5 Fri Oct 30 11:18 - 11:19 (00:00)
xxxxx1 ppp0 xxx.xxx.xx.5 Fri Oct 30 11:17 - 11:18 (00:01)
xxxxx ppp0 xxx.xxx.xx.6 Fri Oct 30 11:13 - 11:16 (00:03)
xxxxx ppp0 xxx.xxx.xx.6 Wed Oct 7 12:37 - 12:50 (00:13)
xxxxx ppp0 xxx.xxx.xx.6 Wed Oct 7 12:34 - 12:35 (00:01)
pptp 用户。连接时长也开始和结束。根据滥用时间,您可以比较 vpn 连接时间并查找 vpn 用户。我猜,一个人使用一个 vpn 用户。
您可以为每个 vpn 用户添加固定 ip 地址,然后使用非常iptables好的示例来监控流量ip accounting这里