@reech

Где искать следы DDoS?

По данным uptimerobot сервер (CentOS) был в даунтайме 18 минут. Иногда случаются ddos атаки, но в этот раз в логах ничего нет. Как найти причину, по которой сервер не отвечал?

Смотрел логи nginx и apache. Есть запрос в 9:23, далее сразу в 9:41. Не ясно чем был занят сервер в это время? Есть способы узнать причину?
  • Вопрос задан
  • 1096 просмотров
Решения вопроса 1
@alcyone
UNIX-админ
Постфактум без специальных улитит такие вещи установить крайне трудно. Вам могли прилететь полтора гигабита UDP флуда, которые сервер при всём желании обработать не смог бы (даже не из-за ksoftirqd, а просто потому что интерфейсы столько не держат или канал провайдера уже). Но вообще странный DDoS на 15 минут, это неоправдано и не нужно, разве что в качестве пробы пера перед настоящими проблемами.
Теребите ТП, пускай смотрят статы на интерфейсах и другую диагностику, если вам это недоступно. А пока она отвечает, настраивайте atop, sar, всё что угодно, лишь бы собирало диагностику и складывало в файл. Потом, после восстановления, можно будет поднять хистори и отследить, что случилось. У atop удобный ncurses-интерфейс, sar собирает очень глубокую диагностику.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
Frankenstine
@Frankenstine
Сисадмин
Если в логах пусто, вероятно просто не было интернета.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы