Как проверить, какой процесс упадет?

Я смоделировал атаку «отказ в обслуживании», подключив две виртуальные машины, то есть атаку и компьютер жертвы. Атакующий компьютер отправляет много трафика (http) на компьютер-жертву, на котором запущено приложение (веб-сервер).

Я запускаю тшарк у жертвы. В конце сеанса мониторинга я вижу сообщение tshark, указывающее, что некоторые пакеты были удалены.

Как узнать, кто сбросил пакет: tshark, приложение (веб-сервер) или машину (в данном случае Ubuntu) или любой другой ресурс, о котором я не думал? Какие тесты я могу выполнить, чтобы убедиться, что?

2 голоса | спросил Curioso 20 +03002015-10-20T09:31:28+03:00312015bEurope/MoscowTue, 20 Oct 2015 09:31:28 +0300 2015, 09:31:28

1 ответ


0

tsharck не расскажет вам о пакете, который был удален веб-сервером или любым другим приложением или демоном. Он не расскажет о пакете, упавшем в источнике. Он расскажет только о пакете, полученном на проводе, который не может быть обработан.

Пакеты можно отбросить на любом из следующих шагов, если это слишком важно для этого шага:

  • получение пакета драйвером сетевой карты
  • ядро ​​получает и дублирует пакет для отправки в tshark
  • пакеты считывания tshark (и фильтрация или декодирование, если они были запрошены)
  • вывод tshark для обработанных пакетов, как для отображения, так и для диска.

Чтобы предотвратить падение пакетов, попытайтесь устранить эти шаги, начиная с более поздних. Например, попробуйте

  • уменьшить обработку пакетов, просто сбросив необработанные пакеты на диск, и на достаточно быстрый диск (рекомендуется скорость SSD или аналогичная)
  • при захвате на диск, чтобы увидеть, не удастся ли удалить пакет, если запись не сохраняется, проверьте, не удалось ли захватить /dev/null уменьшить пакет сбрасывание. Если это так, попробуйте снова захватить файл, но с увеличенным буфером захвата, используя опцию -B <size in MiB>, например -B 100 литий>
  • найдите узкие места в вашей системе (перегрузка сетевой карты или драйвера, перегрузка CPU или IRQ и т. д.).
ответил CuriousFab 20 +03002015-10-20T12:51:18+03:00312015bEurope/MoscowTue, 20 Oct 2015 12:51:18 +0300 2015, 12:51:18

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132