DDOS saldırılarında en önemli noktalar saldırıyı erken algılamak, saldırının şiddetini belirlemek ve sonradan inceleme için paket kaydı yapmaktır. DDOS saldırılarını anlamak için elimizdeki en önemli veri paketlerdir. Ağ arabirimine gelen-giden paketleri saydırarak, ve TCP/UDP/ICMP şeklinde ayırarak saldırı anında hangi protokol üzerinden ne kadar trafik geçiş anlayabiliriz.
DDOS koruma hizmeti verdiğim bir arkadaş sistemlerinde çalışan DDOS engelleme sisteminin anlık olarak sisteme saldırı yapıldığını algılayıp sonradan inceleme amaçlı paket kaydını başlatıp sistem sahibini SMS/mail ile uyaracak şekilde çalışmasını isteyince kolları sıvadım ve bir iki saat içerisinde gayet güzel çalışan bir sistem çıktı ortaya. Talep geldiğinde ilk olarak bunun için ufak bir program yazdıracaktım fakat önce içimdeki sese(tembel UNIX’ci) uyarak arşivimi karıştırıp mini ama işlevsel UNIX programlarını denedim ve aralarında ismine vurulduğum tcpstat işimi fazlasıyla gördü:)
tcpstat ( report network interface statistics) ingilizce açıklamasından da anlaşılacağı üzere ağ arabirimini dinleyerek(ya da pcap formatlı dosyalardan okuma yaparak)çeşitli bilgiler çıkarmaya yarayan bir araç. Bu bilgilerden en fazla işime yarayan PPS değeri(Packet Per Second) ve Bps(BytePerSecond). Bu iki değeri kontrol ettirerek sisteme saldırı olup olmadığını, saldırı varsa ne şiddette bir saldırı olduğunu rahatlıkla anlayabilirsiniz.
Sistem nasıl çalışıyor?
Her 5 saniyede PPS değerini kontrol ettiriyorum. PPS, ortalama değerinin %40 üzerine çıktığında önce tcpdump tetikleniyor ve tüm trafiği diske kaydetmeye başlıyor(sonradan saldırı analizi yapabilmek için) sonra bir mail ile sistem yöneticisine bilgi gidiyor, ardından SMS ile sistemin asıl sahibine sistemdeki saldırıyı ve şiddetini gösteren SMS gönderiyor.
tcpstat’ın hangi bilgileri ekrana basacağı -o parametresi ile bildirilir. -o parametresinin alabileceği değerler aşağıda verilmiştir.
OUTPUT FORMAT
The output string is any quoted string, and tcpstat will write this
string to the stdout. In addition, tcpstat will substitute certain val-
ues for substrings which begin with a “%”, as well as most standard
printf(3) “\” escape characters. Here is a list of all substitution
strings:
%A the number of ARP packets
%a the average packet size in bytes
%B the number of bytes per second
%b the number of bits per second
%C the number of ICMP and ICMPv6 packets
%d the standard deviation of the size of each packet in bytes
%I the number of IPv4 packets
%l the network “load” over the last minute, similar to uptime(1)
%M the maximum packet size in bytes
%m the minimum packet size in bytes
%N the number of bytes
%n the number of packets
%p the number of packets per second
%R same as %S, but relative to the first packet seen
%r same as %s, but relative to the first packet seen
%S the timestamp for the interval in seconds after the “UNIX epoch”
%s the timestamp for the interval in seconds.microseconds after the
“UNIX epoch”
%T the number of TCP packets
%U the number of UDP packets
%V the number of IPv6 packets
