September 27

Traffic überwachen mit NRPE&vnstat

Zur Überwachung meiner Server benutze ich u.a. OpenNMS und wollte gerne,
dass ich einen Alarm bekomme, sobald ein Interface auf einem Server
eine gewisse Anzahl pps oder MBit/s überschreitet.
Per Konsole kann man sich das auf Linux-Systemen ganz nett mit vnstat ausgeben lassen (apt-get install vnstat):
vnstat -i eth0 -tr
Um das dann auch per OpenNMS zu überwachen, habe ich mir ein kleines Check-Script geschrieben (siehe Anhang). Ausser vnstat benötigt es zur Umrechnung der
Einheiten noch bc (apt-get install bc).

Lesen Sie weiter

September 27

Port 80 auf Windows belegt

Zufällig bemerkte ich die Tage, dass mein PC Zuhause den Port 80 offen hat und – ohne das ich einen Webserver oder ähnliches laufen habe – auch darauf antwortet.
Zwar nur mit einer leeren weißen Seite, aber das muss ja nicht sein…
Um hier herauszufinden, was der Unfug soll, habe ich mich folgendem Befehl bedient:
netstat -ano
Als Ergebnis liefert netstat dann etwas in dieser Richtung:
Aktive Verbindungen
Proto Lokale Adresse Remoteadresse Status   PID
TCP   0.0.0.0:80      0.0.0.0:0    ABHÖREN 3628

Zu guter Letzt muss jetzt noch herausgefunden werden, wozu diese PID gehört. Dabei kann man entweder im Task-Manager die Liste durchgehen oder
man macht direkt in der cmd weiter. Letzteres finde ich etwas komfortabler.
Befehl hierfür in diesem Fall (die PID muss dabei natürlich dem o.g. Ergebnis entsprechend angepasst werden):
tasklist /FI „PID eq 3628“

Daraufhin wird der verantwortliche Prozess angezeigt:


Abbildname PID Sitzungsname Sitz.-Nr. Speichernutzung
======================================================
Skype.exe  3628 Console          1      245.040 K

Skype war also schuld.
Nach weiterer Recherche stellte sich heraus, dass Skype den Port 80 (und im Übrigen auch Port 443) als Alternative für eingehende Verbindungen nutzt.
Für Nutzer von WAMP oder ähnlichem kann das durchaus zum Problem werden. Deaktivieren lässt sich das Ganze in den Optionen von Skype -> Erweitert -> Verbindungen.
Dort gibt’s eine Option „Ports 80 und 443 für zusätzliche eingehende Verbindungen verwenden“. Haken raus und Ruhe.

September 21

Bind Ratelimiting & Fail2Ban

Das Ratelimiting von Bind9 ist eine feine Sache. Wer gar einen offenen DNS-Server betreibt (böse!),
wird kaum drum herum kommen. Um es zu aktivieren genügt ein Eintrag in die Config-File eures Bind Dienstes:

rate-limit
{
# wieviele Anfragen duerfen pro Sekunde und Client kommen
responses-per-second 5;
window 20; # Burst Wert
exempt-clients {
127.0.0.1;
#weitere IP-Adressen, die nicht gelimited werden sollen
#Semikolon jeweils nicht vergessen!
} ;
};

Damit kann man schon ganz ordentlich vorbeugen, zum Mittelsmann einer DNS-Amplification zu werden.
Es hat mich jedoch enorm gestört, dass es einige dennoch immer wieder versucht haben – also wollte ich die Nasen mit Fail2ban aussperren.

Damit das klappt, muss Bind eventuelle Verstöße natürlich ordentlich loggen. Dazu macht es Sinn, ein bisschen Ordnung in die Logs zu bringen.
Ich habe das mit folgenden Einträgen gelöst: Lesen Sie weiter

September 20

Softwarebasiertes Netflow

Wenn man seinen Traffic mal ordentlich überwachen möchte aber keinen Zugriff auf die Switche&Co hat, muss man nicht auf Netflow verzichten.
Eine Alternative gibt es per FProbe, eine softwarebasierte Netflow-Probe.

Installation läuft auf Ubuntu einfach ab:

apt-get install fprobe

Danach muss dann nur noch die Config nach den eigenen Wünschen angepasst werden, auch hier gibt’s nicht viel zu tun:
INTERFACE="eth0" #Hier muss das zu überwachende Interface rein
FLOW_COLLECTOR="123.456.789.0:9996"
# Hier die Adresse inkl. Port vom
# Netflow-Collector hin, also z.B. der nfcapd Server

Der Rest kann so bleiben, wie er ist. Fertig!

 

Da ich seit kurzem Besitzer eines Freifunk-Routers vom Freifunk Bielefeld (anschauen lohnt!) bin, wollte ich auch hier mal einen Blick auf den Traffic haben,
der so über die Kiste wandert. In meinem Fall ist das ein TP-Link TL-WR841N v9. Der Speicherplatz und die Rechenleistung sind natürlich recht begrenzt, reicht aber.

Vorab natürlich die klare Ansage: keine Gewähr für dieses Vorhaben. Wenn der Router davon in die Dutten geht, ist das allein eurem Basteldrang geschuldet 🙂
Lesen Sie weiter