【*画像あり】tcpdumpの使い方について！アタック回避

お世話になっております。Ezです。

図の通り、第3者から攻撃を受けたときに
どこから(src IP や src PORT) どこ宛(dst IP や dst PORT)に攻撃されているかを即座に判断したいです。

tcpdumpコマンドを用いて判断するにはどのようなオプションを打てばよろしいでしょうか？

![イメージ説明]WIDTH:525

ご存知の方、又はご経験された方いらっしゃいましたらご教授いただけないでしょうか？

＊tcpdump -w でいったん保存してwireshark上で操作して見つけるというのは無しでお願い致します。
あくまでlinux上(CentOS Ubuntu等)でコマンドを打って即原因を見つけたいのです。
実際に防御はiptablesではなく、上位のスイッチに設定を入れようと考えております。

よろしくお願い致します！

行動規範の内容に同意します

回答2件

アタックを見つける、という意味ではアクセスがあることをリアルタイムに見れれば良い、ということでしょうか。
例えば自WEBサーバへのhttpでのアクセスであれば
tcpdump dst port 80 と打てば見れますが、ご質問の意図はそういう事でしょうか？

投稿2015/02/16 04:17

DIwa

総合スコア32

EzrealTrueshot

2015/02/16 04:30

回答ありがとうございます！はい、そのような感じです！ただ、攻撃者は時にはTCPだけじゃなく、UDPを用いたり、よくわからない空いているポートに向けて猛裂にアタックしてきます。こういう場合はどのようなオプションをつければ対応できますでしょうか？うまく伝わっていなければすみません；要するにトラフィックが上がっていることはわかるのですがどこからの攻撃で、内部のどこ宛てへの攻撃かが全くわかっていない時に即座に識別したいのです。現状は ①あ、トラフィックが跳ね上がった！と気づく。 ②でも、これは何が原因で跳ね上がったのかわからない！ ③tcpdumpで調べよう！ ④オプションどうしたらいいのだろう？こんな状態です。

DIwa

2015/02/18 10:56

事情があってすぐにファイアウォールを設置出来ない、といった状況なのでしょうか？文章からだけの判断だと「何が来てるか把握してから対処する」とされているのか？と読めるのですが、実際インターネットではありとあらゆるポートに攻撃が来ています。特殊な事情が無いのならば利用するポートだけ（例えばWEBサーバならTCPの80,443など）開けてあとはTCPもUDPも全部閉じることが望ましいと思いますが。見当違いの回答になってしまいますか？

行動規範の内容に同意します