Trigger op basis van dropped packets netwerk interface

zondag 2 juni 2019 12:56

Acties:

Topicstarter

Sinds een aantal dagen probeert iemand mijn server aan te vallen met een (D)DoS aanval.
Onze monitoring software (Zabbix) herkent "dropped incoming packets" op de netwerk interface (Zabbix item key: net.if.in[dropped] ).
Ik neem aan dat Zabbix deze informatie uit Windows haalt, bijvoorbeeld via wmic of met netstat -s.

Ik ben van plan om tijdens een (D)DoS aanval het netwerkverkeer te monitoren met Wireshark. Om een beter beeld te krijgen van het type (D)DoS aanval. Vervolgens kan ik de aanval mitigeren door het up-stream firewall van mijn hosting provider aan te passen.

Nu is mijn vraag:
Hoe kan ik een trigger maken op de lokale server, om "een applicatie" (wireshark) te starten op momenten dat er veel inkomend netwerkverkeer wordt gedropt?

Zijn er tooltjes of batch scripts die dit kunnen doen?

p.s.
Zabbix heeft de mogelijkheid om een applicatie te starten op basis van een trigger, maar dit wordt aangestuurd vanuit de centrale monitoring server. Aangezien de verbinding tijdens een (D)DoS aanval wegvalt, is dit dus niet mogelijk.

zondag 2 juni 2019 13:00

Acties:

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Alternatieve oplossing: laat wireshark continue lopen en naar een ringbuffer bestand schrijven (vaste grootte, overschrijft de oudste data steeds met nieuwe data). Stel in Zabbix een alert in voor die (D)DoS detectie, zodat je vervolgens handmatig wireshark (na een poosje) kan stoppen en de resultaten kan bekijken.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

zondag 2 juni 2019 13:00

Acties:

Will_M

Intentionally Left Blank

Werkt dat "Zabbix" niet met SNMP Traps? Het lijkt me persoonlijk een beetje raar om netwerkcomponenten op basis van WMIC "remote" te gaan monitoren (een NIC is in principe ook een L2/L3 netwerkcomponent).

[ Voor 3% gewijzigd door Will_M op 02-06-2019 13:03 ]

Boldly going forward, 'cause we can't find reverse

zondag 2 juni 2019 13:06

Acties:

Gijs007

Topicstarter

Orion84 schreef op zondag 2 juni 2019 @ 13:00:
Alternatieve oplossing: laat wireshark continue lopen en naar een ringbuffer bestand schrijven (vaste grootte, overschrijft de oudste data steeds met nieuwe data). Stel in Zabbix een alert in voor die (D)DoS detectie, zodat je vervolgens handmatig wireshark (na een poosje) kan stoppen en de resultaten kan bekijken.

Klopt, dit is vergelijkbaar met hoe we het nu doen.

Het nadeel van deze oplossing is dat het reactief is. We doen dit pas op momenten dat er vaker (D)DoS aanvallen plaatsvinden.
Bovendien lopen we het risico om de data te overschrijven. Bijvoorbeeld bij een nachtelijke (D)DoS aanval.

wimmel_1 schreef op zondag 2 juni 2019 @ 13:00:
Werkt dat "Zabbix" niet met SNMP Traps? Het lijkt me persoonlijk een beetje raar om netwerkcomponenten op basis van WMIC te gaan monitoren (een NIC is in principe ook een L2 netwerkcomponent)

Dat kan, maar wij gebruiken de Zabbix agent welke geïnstalleerd is op het systeem.

donderdag 6 juni 2019 18:41

Acties:

akimosan

Wordt er ook een event/gebeurtenis in je Windows logboek weggeschreven op het moment dat Zabbix of de agent dit detecteert of packets wegvallen? (andere netwerk gerelateerde zaken zouden ook een indicatie moeten kunnen afgeven die al in je eventlog wordt geregistreerd zoals het niet kunnen bereiken van bepaalde andere systemen)

Dan kun je een scheduled task maken die start zodra het event in een Windows logboek wordt gedetecteerd.

Anders:
Perfmon gebruiken om netwerk issues te detecteren op de lokale server
Perfmon alert laten genereren
Event vinden in "Application and Services Logs" -> "Microsoft" -> "Windows" ->Diagnosis-PLA" -> Operational.
Scheduled task op dit event laten monitoren
Event triggert de geplande taak en start WireShark ,etc..

Zie voor iets waarbij een HyperV VM wordt gemoved op basis van een Perfmon alert dit artikel.
Apply the same logic

MSDN: Leveraging Event Log Messages and Performance Counter Alerts To Automat...

donderdag 6 juni 2019 20:23

Acties:

Gijs007

Topicstarter

akimosan schreef op donderdag 6 juni 2019 @ 18:41:
Wordt er ook een event/gebeurtenis in je Windows logboek weggeschreven op het moment dat Zabbix of de agent dit detecteert of packets wegvallen? (andere netwerk gerelateerde zaken zouden ook een indicatie moeten kunnen afgeven die al in je eventlog wordt geregistreerd zoals het niet kunnen bereiken van bepaalde andere systemen)

Dan kun je een scheduled task maken die start zodra het event in een Windows logboek wordt gedetecteerd.

Anders:
Perfmon gebruiken om netwerk issues te detecteren op de lokale server
Perfmon alert laten genereren
Event vinden in "Application and Services Logs" -> "Microsoft" -> "Windows" ->Diagnosis-PLA" -> Operational.
Scheduled task op dit event laten monitoren
Event triggert de geplande taak en start WireShark ,etc..

Zie voor iets waarbij een HyperV VM wordt gemoved op basis van een Perfmon alert dit artikel.
Apply the same logic

MSDN: Leveraging Event Log Messages and Performance Counter Alerts To Automat...

Zabbix maakt hier helaas geen event logs van binnen Windows. (events / triggers worden door de Zabbix server berekend/herkend op basis van data van de agent)

Ik zal eens kijken hoe dit met Perfmon werkt, bedankt voor de tip $_/-\o_$

Vraag

Alle reacties