[WANTED] Monitor z tcpdump

Zadanie

Poradnik krok po kroku który opisze jak zainstalować i skonfigurować narzędzie które automatycznie przechwyci stosunkowo małą próbkę ruchu np. ~100 000 pakietów przy pomocy tcpdump przy wykryciu dużego ruchu przychodzącego.
Biorąc pod uwagę domyślne ustawienia VM w lvlup.pro dużym ruchem przychodzącym będzie 140Mbit lub więcej gdyż domyślny limit karty sieciowej to 20MB/s.
Mają to być gotowe instrukcje pod Ubuntu 18.04 oraz Debian 10 którego mamy w autoinstalatorze systemów lvlup.pro

Dobrze byłoby gdyby starsze próbki się nadpisywały aby zapobiec zapchaniu się dysku VPSa.

Głównym celem jest nie obciążanie osób które są już ofiarami ataków aby musiały dodatkowo użerać się z konfiguracją.

Przykłady

Jedno z gotowych rozwiązań to dosmon: https://github.com/xnite/dosmon
Więcej informacji: https://www.xnite.me/tech/infosec/2016/07/29/ddos-monitoring-and-logging

Jeśli poradnik by go używał to po prostu wystarczy ładnie opisać jego użycie po polsku.

Uzasadnienie

Ze względu na większą aktywność serwerów gier w ostatnich tygodniach, przestępcy rozwijają swoje metody omijania filtrowania w OVH.
Potrzebujemy próbek ruchu aby OVH mogło to poprawić lub dostosować filtr do konkretnego klienta.
Cały proces przekazania nam linku do pcap ma być jak najprostszy dla użytkownika.
Taki poradnik byłby z korzyścią dla:

  • naszych klientów
  • innych klientów OVH (skuteczniejsze filtry dla wszystkich)
  • osoby piszącej poradnik
  • lvlup.pro

Nagroda

50-70 PLN jako rabat w portfelu lvlup.pro.

Jeśli proces będzie jeszcze bardziej usprawniony np. generowanie linku z uploadem lub łatwe hostowanie pcap od razu z VPS wtedy nagroda będzie podwójna.

6lajków

Rezerwuje poradnik :slight_smile:

1lajk

Ok :slight_smile:

Wstępna rezerwacja do 20.04.2020 dla @KrEdEnS

1lajk

Done https://forum.lvlup.pro/t/automatyczny-tcpdump-podczas-ataku-ddos-dos

1lajk

Super :slight_smile:
Szczególnie spodobał mi się język w którym to napisałeś.

Jeśli chodzi o upload, dałbym go w 5. punkcie jako alternatywę, w 4. punkcie dałbym użycie plik: https://github.com/root-gg/plik/
Nie zerknąłem zbyt dokładnie ale wydaje mi się że dałoby się wrzucić plik bezpośrednio curlem na https://plik.root.gg/
To by było znacznie prostsze i szybsze od strony użytkownika.
Obsługa miałby też łatwiej ze ściąganiem plików, OVH w sumie właśnie sugerowało też tą stronę.

Nie ma też co usuwać obecnych informacji odnośnie mega bo są spoko.

Po tych zmianach będzie doliczony bonus :merchant:

2lajki

Done :slight_smile:

EDIT:
@SystemZ zastanawiam się, czy jeszcze coś dodać.

W obecnej formie jest ok :slight_smile:

1lajk

Nagroda odebrana - dzięki :slight_smile:

1lajk