Изпечатай

[borovaka]

За този проблем и аз преди време бях написал решение, отново свързано с тръби ... което лично за мен е единственото адекватно в случая.

[neter]

може ли да се направи така, че tcpdump да се записва под формата на някакъв .txt файл, понеже понякога не успявам да хвана IP-то на флуудещият ?

Изходите на всички команди (не само на tcpdump) могат да се записват във файл, като в края на командата се добави "> /път/до/файла". Например

tcpdump > /home/user/tcpdump.txt

Тук има едно допълнение, което трябва да имаш предвид, когато определяш какво да се записва във файловете от подобни команди. Има два изходни потока - stdout (означен с цифрата 1), в който тече изходът от стандартното изпълнение на командата, и stderr (означен с цифрата 2), в който текат съобщения за грешки и диагностика. По подразбиране командите ">" и ">>" (втората не презаписва текущите данни във файла, а добавя записите след тях) записват изхода от stdout потока. Ако искаш да записваш съобщенията от stderr потока, примерът ще бъде

tcpdump 2> /home/user/tcpdump.txt

[Holder]

Като сложа командата излиза следното :
tcpdump: verbose output supressed, use -v or -vv for full protocol decode listening on eth0, link -type EN10MB (Ethernet), capture size 65535 bytes.

Мерси и за изчерпателният отговор.

[edmon]

В случай че искаш да знаеш повече - има един мой текст тук за едни тръби и едни флуиди намери го и после си кажи мнението.

Къде са ти тия тръби и фитиниги, нищо не намирам!

[kifavi8024]

Код

GeSHi (Bash):
tcpdump <опции> > log.txt

Ето така ще ти запише всичко, което иначе ти показва в терминала

[gat3way]

tcpdump има опция за записване на трафика в pcap формат. Това което изплюва в текстов вид е мъчение според мен, далеч по-удобно и нагледно е да отвориш pcap файла в wireshark например.

[n00b]

В случай че искаш да знаеш повече - има един мой текст тук за едни тръби и едни флуиди намери го и после си кажи мнението.

Къде са ти тия тръби и фитиниги, нищо не намирам!

http://www.linux-bg.org/forum/index.php?topic=38580.msg203638#msg203638

[neter]

Като сложа командата излиза следното :
tcpdump: verbose output supressed, use -v or -vv for full protocol decode listening on eth0, link -type EN10MB (Ethernet), capture size 65535 bytes.

Този ред не се намира в stdout потока, а в stderr, и ако не си указал съобщенията от stderr да отиват във файла (явно си задал само тези от stdout да отиват там), съобщенията от stderr си се показват в конзолата.
А че gat3way е прав, прав е, обърни внимание

[tdonev]

.. изтрито от автора ..

[Holder]

Здравейте с "ip route add blackhole IP" си оправям проблемите с флоод, когато мога, но сега имам проблем. На този пик, можете да видите част от флууда към мен: http://postimg.org/image/ahkok1os7/
Идва от facebook и е насочен към IP 82.146.20.34
Как да блокирам този флууд, след като нямам IP на флуудера и другото което е, това IP 82.146.20.34 само първите 2 цифри са мои, демек флууди провайдера ми или ?
А иначе флууди на ИП-то ми порт 27015, така че моля за малко помощ как да спра този флууд ?

[Acho]

А ти колега, прочете ли тази и подобните теми за СПИРАНЕТО на тоя флуд ?

Ако си я прочел и осмислил добре, нямаше да питаш КАК. Еми НИКАК. Доставчика ти може, ама няма и да си мръдне пръстта за твоя CS сървър. Знам, че е неприятно това флудене, но това е истината.

[Holder]

А ти колега, прочете ли тази и подобните теми за СПИРАНЕТО на тоя флуд ?

Ако си я прочел и осмислил добре, нямаше да питаш КАК. Еми НИКАК. Доставчика ти може, ама няма и да си мръдне пръстта за твоя CS сървър. Знам, че е неприятно това флудене, но това е истината.

Нямам проблем с четеното, само ако можеш да дадеш линк, търсих как да банна сайт с тази команда и за това съм стигнал до задънена улица, защото не може. Но дай линк да се информирам. Значи след като не може направо да го спирам сървърът, нищо не може да се направи ?

ЕДИТ:
То дефакто това вече не е УДП а DDoS атака ?

[Acho]

Казваш, че си прочел тази цялата тема, но явно не си я разбрал колега. Да, ТИ не можеш с никакви команди да спреш трафика КЪМ тебе. Може само доставчика ти.

Сега, ще спираш - няма да спираш, ти си решаваш. Ама някой те е метнал здраво, това е истината. Хубава вечер.

[Holder]

Казваш, че си прочел тази цялата тема, но явно не си я разбрал колега. Да, ТИ не можеш с никакви команди да спреш трафика КЪМ тебе. Може само доставчика ти.

Сега, ще спираш - няма да спираш, ти си решаваш. Ама някой те е метнал здраво, това е истината. Хубава вечер.

Аз не мога да го спирам, но мога да го обработвам, ако беше ИП слагам blackhole командата и го спира флоода, вече ако е много сериозен флууда, ПС-то няма да се справи с неутрализирането. но 1024 пакета не мисля, че са много и би трябвало да се справи, само дето няма ИП което да сложа за бан, това дефакто не е UDP а DDoS правилно ли мисля или ? Някакъв начин няма ли да взема ИП-то, което пуска атаките ?

[v13]

Виж какво обясняват хората за UDP може да ти е полезно: https://wiki.archlinux.org/index.php/Simple_Stateful_Firewall