Signaler

Trafic important sur un serveur

Posez votre question tom@ 185Messages postés lundi 21 mars 2005Date d'inscription 14 novembre 2017 Dernière intervention - Dernière réponse le 14 nov. 2017 à 19:43 par tom@
Bonjour à tous,

il y a un grand nombre de requêtes ARP. Le trafic est important sur le serveur.
Je tente de comprendre et d'analyser ce trafic.

Le serveur a un VPN et d'autres services.
Comment analyser le trafic et limiter les requêtes ?
Existe-t'il un moyen de le faire ?

tcpdump
m'indique des requettes de type
ethertype ARP
. Le résultat est de ce genre :

00:yy:zz.wwwww AdresseMac > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has 91.121.207.244 tell 178.33.99.43, length 46


fail2ban
interdit des IP très fréquemment, durant ces derniers jours.

Est-ce une tentative de découvrir l'adresse MAC du serveur?

Quelles sont les solutions envisageables ? (nagios, nginx, wireshark ou commandes sur le terminal)

Merci.Tom
Utile
+1
plus moins
Bonjour,

Il faut commencer par vérifier que la machine n'a pas été piratée. Tu peux utiliser
rkhunter
pour cela. Si tu utilises une distributions basée sur debian (ubuntu...) installer
debsums
et vérifier la signature des paquets peut aider. Je t'invite aussi à faire une mise à jour globale de ton système. Si certains paquets essentiels n'arrivent pas à se mettre à jour, c'est mauvais signe, c'est probablement que la machine a été piratée.

Plus de détails ici :
https://www.google.fr/search?q=mistra+rootkit&oq=mistra+rootkit&aqs=chrome..69i57.4689j0j7&sourceid=chrome&ie=UTF-8

Ensuite :
- vérifie avec
ps -faux
(en admettant qu'il n'y ait pas/plus de rootkit) que tu n'as aucun processus suspect et qui pourrait expliquer cette charge soudaine
- idem avec
netstat -ntlp

- regarde quels utilisateurs sont connectés avec la commande
who
.

Enfin il faut sécuriser la machine :
- installe
fail2ban
et active les jails correspondant aux services installés sur ta machine.
- au besoin, ajoute des règles
iptables
pour bloquer les IPs qui tentent d'attaquer ta machine (voir logs, par exemple
/var/log/auth.log
ou
/var/log/apache/*log
)
- installe
snort

- si tu utilises ssh, assure-toi que tu as une clé ssh et que tu n'autorise que les authentifications par clé ssh
- de manière générale, tiens ta machine à jour

Bonne chance
Donnez votre avis
Utile
+0
plus moins
bonjour, merci beaucoup de la réponse. Je vais voir ça.
Donnez votre avis

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !