Overzicht welk IP exact welke website bezoekt... - Linux en overige clients

donderdag 21 mei 2009 19:00

Acties:

Topicstarter

Ik draai een linux servertje met een paar websites erop en ik heb de laatste dagen flink veel http connecties waardoor de server soms zeer traag gaat
Via een netstat staan er een hoop connecties open op poort 80, als ik echter via server-status ga kijken dan zie ik deze IP's niet terug. (lijkt wel als of ik onder een ddos zit)

Is er 1 of andere tool waar ik kan zien naar welke website (of link) deze IP's allemaal connecten?

De server draait fedora met apache versie 1.3.37

Er staan ca 30 domeinen op de server (server heeft maar 1 IP adres)

Ik heb nu enkele ranges geblokkeerd via IPtables maar ik wil graag weten waarop deze aanval is gericht, dit duurt nu al een dag of 3 en ik kan niet gevonden krijgen wat ik er aan moet doen om het te stoppen.

Graag advies

donderdag 21 mei 2009 19:02

Acties:

FiscBiker

/var/log/http/access_log ?

donderdag 21 mei 2009 19:03

Acties:

pistole

Frutter

kijk anders even naar mod_status voor apache, daarin zie je o.a. naar welke vhost je request lopen

[ Voor 36% gewijzigd door pistole op 21-05-2009 19:03 ]

Ik frut, dus ik epibreer

donderdag 21 mei 2009 20:10

Acties:

rob3rt

Topicstarter

@FiscBiker:
Nee daar is dus niets te zien, de IP adressen welke deze connecties openen komen niet voor in de logs.

@pistole:
Zoals ik al zei: "ls ik echter via server-status ga kijken dan zie ik deze IP's niet terug."
mod_status is dus server-status.
Zodra ik de IPtables flush is de status pagina onbereikbaar, ik kan met geen mogelijkheid achter halen waar de connecties naar toe gaan.

donderdag 21 mei 2009 20:17

Acties:

Verwijderd

Waarom log je met iptables niet gewoon alle nieuwe connecties naar TCP poort 80? Of waarom gebruik je niet de libpcap library om TCP verkeer te loggen, je hebt maar een paar seconden of minuten aan data nodig om te analyseren.

donderdag 21 mei 2009 20:28

Acties:

pistole

Frutter

rob3rt schreef op donderdag 21 mei 2009 @ 20:10:
@pistole:
Zoals ik al zei: "ls ik echter via server-status ga kijken dan zie ik deze IP's niet terug."
mod_status is dus server-status.

Excuus; ik had er overheen gelezen. Doe je alle websites met hostheaders? Dat zou kunnen impliceren dat er verzoekjes worden verstuurd zonder hostheader, en wellicht is er dan sprake van een wormpje, dosje of iets anders.

Met hierboven: even tcpdump laten lopen, of eventueel tcpick om (nog) makkelijker in de pakketjes te kijken.
Wat is overigens de status van de sockets die je ziet met netstat?

Ik frut, dus ik epibreer

vrijdag 22 mei 2009 08:43

Acties:

riddles

rob3rt schreef op donderdag 21 mei 2009 @ 19:00:
Via een netstat staan er een hoop connecties open op poort 80, als ik echter via server-status ga kijken dan zie ik deze IP's niet terug. (lijkt wel als of ik onder een ddos zit)

Is er 1 of andere tool waar ik kan zien naar welke website (of link) deze IP's allemaal connecten?

Er zijn twee opties. Ofwel een client maakt alleen een connectie en stuurt daarna geen geldig http request (bijv. als onderdeel van een ddos o.i.d.). Dan volgt de client dus geen link. Zonder http request connect hij ook niet naar een bepaalde website (welke website een client opvraagt is onderdeel van het http request). Je hebt dan dus puur te maken met tcp connecties en hebt niets aan http access logs, e.d. Je moet op tcp niveau gaan zoeken met tcpdump of iptables logging.
Als de client een valide http request stuurt, kun je zien welke vhost en welke url de client opvraagt. Echter, aangezien requests niet in server status terugkomen en niet in je access_log, zal dat wel niet het geval zijn.

Wat je met iptables kunt doen (voorbeeld - niet getest):

code:

1	iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j LOG --log-prefix "CONNECTION PORT 80:"

Je kunt hieraan de optie "-m limit" toevoegen om te voorkomen dat je logfiles niet direct vollopen, maar daarmee mis je ook data. In jouw geval zou ik de optie dus weglaten en gewoon mee blijven kijken.