Назад | Перейти на главную страницу

Настройка Wireshark для непрерывного захвата во время DDoS-атаки

В течение нескольких месяцев мы подвергались атакам DDoS на различные машины. Центр обработки данных либо обнуляет маршруты, либо устанавливает для нас ACL. Однако я только что обратил внимание на плавающий инструмент, предназначенный для нацеливания на игровые серверы, который фактически превращает другие игровые серверы (используя эксплойт в программном обеспечении) в зомби, что по сути является массивным ботнетом.

Поскольку я твердо уверен, что для отправки этих атак используется один порт, я хотел бы проверить это, прежде чем просить центр обработки данных полностью заблокировать этот порт для входящего трафика на наших машинах. Я использовал Wireshark несколько раз, но только прочитав, мне трудно понять, как это сделать.

1) Как мне настроить захват пакетов, который будет регистрировать всю входящую сетевую активность, но разбивать ее на файлы размером 1 ГБ или около того. Кажется, нас сейчас бьют каждую ночь, так что я могу просто оставить это в часы пик.

2) Будет ли постоянный запуск Capture отрицательно влиять на сетевой трафик?

Посмотри на эта страница. Он показывает варианты захвата. Вы можете сохранять свои пакеты в нескольких файлах и ограничивать размер файла.

Конечно, вы можете применить нужный фильтр, чтобы захватить только интересный трафик. Это ограничит объем сохраняемых данных, особенно в загруженной сети / сервере.

Захват пакетов не повлияет на сеть, так как это пассивная операция. Вы просто собираете полученные данные, но это может немного замедлить работу вашего сервера в зависимости от объема трафика. Будьте готовы также иметь требуемую емкость HD.