Trafic important sur un serveur

tom@ Messages postés 219 Statut Membre -  
mamiemando Messages postés 33228 Date d'inscription   Statut Modérateur Dernière intervention   -
Bonjour à tous,

il y a un grand nombre de requêtes ARP. Le trafic est important sur le serveur.
Je tente de comprendre et d'analyser ce trafic.

Le serveur a un VPN et d'autres services.
Comment analyser le trafic et limiter les requêtes ?
Existe-t'il un moyen de le faire ?

tcpdump
m'indique des requettes de type
ethertype ARP
. Le résultat est de ce genre :

00:yy:zz.wwwww AdresseMac > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has 91.121.207.244 tell 178.33.99.43, length 46


fail2ban
interdit des IP très fréquemment, durant ces derniers jours.

Est-ce une tentative de découvrir l'adresse MAC du serveur?

Quelles sont les solutions envisageables ? (nagios, nginx, wireshark ou commandes sur le terminal)

Merci.Tom

4 réponses

  1. mamiemando Messages postés 33228 Date d'inscription   Statut Modérateur Dernière intervention   7 940
     
    Bonjour,

    Il faut commencer par vérifier que la machine n'a pas été piratée. Tu peux utiliser
    rkhunter
    pour cela. Si tu utilises une distributions basée sur debian (ubuntu...) installer
    debsums
    et vérifier la signature des paquets peut aider. Je t'invite aussi à faire une mise à jour globale de ton système. Si certains paquets essentiels n'arrivent pas à se mettre à jour, c'est mauvais signe, c'est probablement que la machine a été piratée.

    Plus de détails ici :
    https://www.google.fr/search?q=mistra+rootkit&oq=mistra+rootkit&aqs=chrome..69i57.4689j0j7&sourceid=chrome&ie=UTF-8

    Ensuite :
    - vérifie avec
    ps -faux
    (en admettant qu'il n'y ait pas/plus de rootkit) que tu n'as aucun processus suspect et qui pourrait expliquer cette charge soudaine
    - idem avec
    netstat -ntlp

    - regarde quels utilisateurs sont connectés avec la commande
    who
    .

    Enfin il faut sécuriser la machine :
    - installe
    fail2ban
    et active les jails correspondant aux services installés sur ta machine.
    - au besoin, ajoute des règles
    iptables
    pour bloquer les IPs qui tentent d'attaquer ta machine (voir logs, par exemple
    /var/log/auth.log
    ou
    /var/log/apache/*log
    )
    - installe
    snort

    - si tu utilises ssh, assure-toi que tu as une clé ssh et que tu n'autorise que les authentifications par clé ssh
    - de manière générale, tiens ta machine à jour

    Bonne chance
    1
  2. tom@ Messages postés 219 Statut Membre 50
     
    bonjour, merci beaucoup de la réponse. Je vais voir ça.
    0
  3. tom@ Messages postés 219 Statut Membre 50
     
    Bonjour,
    Aprés recherches, il n'y a pas de risque potentiel.

    Les ip identifiées semblent correspondre à un protocole de routage. L'ip 178.33.99.43 est, semble t'il, sans danger. Avec
    whois
    , cette dernière ip appartient à OVH.
    Pour les deux autres ip, 204.0.0.18 et 224.0.0.18, il ne semble pas y avoir de risque également.

    De plus, aprés vérifications, le serveur n'est pas piraté, de prime abord.
    Merci pour les recommandations du message précédent et à mamiemando pour ses conseils.

    Prenant conscience des risques potentiels , j'ai pris soin de ré-activer certaines ips.

    Une question reste en suspend:
    Comment obtenir la liste des Ips TMG , afin de les mettre à jour?

    J'ai cru comprendre que snort peut mettre à jour les IPs. Est-ce correcte?

    Tom@
    0
  4. mamiemando Messages postés 33228 Date d'inscription   Statut Modérateur Dernière intervention   7 940
     
    Bonjour,

    Pour TMG je ne sais pas il faut regarder dans la documentation, c'est vraisemblablement stocké dans
    /var
    (je ne connais pas le logiciel, mais sous debian j'aurais stocké cette information dans
    /var/lib/tmg
    ou nom approchant). Par exemple fail2ban ajoute des règles iptables et stocke l'information dans
    /var/lib/fail2ban/fail2ban.sqlite3
    .

    Pour
    snort
    il y a également effectivement blacklists qui existent :
    https://blog.snort.org/2015/09/ip-blacklist-feed-has-moved-locations.html

    Bonne chance
    0