Goedemiddag iedereen,

Ik ben opzoek naar een monitoring systeem die mij een notificatie kan geven als 1 van onze servers aangevallen wordt met behulp van (bijvoorbeeld) DDOS aanval. Het gaat hier om zowel linux servers als om windows servers

Alvast bedankt!!

Groeten Koen

Heb je eigen router(s) draaien?
Anders kan je het e.a. met sflow/Netflow doen.

Wat je ook nog kan doen op switch niveau als je geen sFLOW/NetFlow hebt is met Zabbix het aantal packet per seconden meten.
En bij veel pps een melding laten sturen.

Op Linux kan je vast ook PPS uitlezen van een server en hetzelfde bouwen.

Ik zou zeggen kijk eens naar observium (http://www.observium.org) ;).

Ik kan AlienVault (http://www.alienvault.com) van harte aanbevelen. Dit is een opensource SIEM die realtime DDOS, spammers, DNS amplication, hackers, malware etc kan deze detecteren. Dit is een zeer uitgebreide tool, je hebt wel een snelle bak nodig als je veel traffic wil analyseren.

Een andere optie is om Zabbix te gebruiken en de packets per seconde op de switches meten. Verhoogde packets kunnen namelijk duiden op een DDOS.

Observium :)

Kan je met Observium alerts instellen op PPS?

Sent from my HTC One using webhostingtalk mobile app

Kan je met Observium alerts instellen op PPS?

Sent from my HTC One using webhostingtalk mobile app

Sinds kort kan je inderdaad alerts instellen, of het ook mogelijk is op pps heb ik geen idee. Ik hou me persoonlijk niet zo bezig met alerting ;)

Sent from my mobile using webhostingtalk mobile app

Sinds kort kan je inderdaad alerts instellen, of het ook mogelijk is op pps heb ik geen idee. Ik hou me persoonlijk niet zo bezig met alerting ;)

Sent from my mobile using webhostingtalk mobile app

De laatste keer dat ik heb geprobeerd om dat bij ons in Observium, zat het er niet in... Als ik me niet vergis zitten er Observium developers hier op het forum dus .... hint hint voor een nieuwe feature (mocht het er nog niet in zitten) ;)

Goedemorgen,

Allereerst bedankt voor jullie reactie's.
Wat ik vergeten te vermelden ben is dat onze servers bij een data center staan en dat dit virtuele servers zijn.
wij hebben dus geen switches tot ons beheer of router's!

ik ga nu kijken naar de producten die jullie aangeven!

Groeten

De laatste keer dat ik heb geprobeerd om dat bij ons in Observium, zat het er niet in...

De alerting is nog maar een goede week gereleased ;), dus als je het nog niet zou hebben updaten die handel zou ik zeggen :p.


Als ik me niet vergis zitten er Observium developers hier op het forum dus ....



Je meent het, het zou helpen moest je op de front page van observium eens de namen vergelijken met de personen die hier posten (of moderator) zijn :smartass:.

De laatste keer dat ik heb geprobeerd om dat bij ons in Observium, zat het er niet in... Als ik me niet vergis zitten er Observium developers hier op het forum dus .... hint hint voor een nieuwe feature (mocht het er nog niet in zitten) ;)


Lekker wakker ben je :) je quote een observium developer.

Lekker wakker ben je :) je quote een observium developer.

Maar de laatste keer zat het er ook gewoon nog niet in. En ik zit nu net met de laatste versie te spelen, en daarin zit wel alerting, maar niet voor sFLOW/NetFlow.

Verder is het toch niet zo vreemd dat ik "The-BosS" niet herken in "CodeKiller"... in de signatures had ik het inmiddels al wel gezien ja :-)

Maar de laatste keer zat het er ook gewoon nog niet in. En ik zit nu net met de laatste versie te spelen, en daarin zit wel alerting, maar niet voor sFLOW/NetFlow.

Het klopt inderdaad dat het voor sFlow/netFlow niet werkt, aangezien dat een addon functie is en eigenlijk niet tot de core van observium behoort. De simpele reden hiervoor is dat naast de rrd deze waarden ook rechtstreeks opslaan worden in de database, wat bij de sFlow/netFlow integratie niet mogelijk is aangezien we daar enkel de rrd's inlezen van het externe programma (zoals o.a. ook met collectD het geval is).

Maar het is wel mogelijk op de waarden die observium zelf via snmp binnen haalt, voor netwerkpoorten zijn dit de volgende metrics:


ifInOctets_rate & ifOutOctets_rate
ifInOctets_perc & ifOutOctets_perc
ifInUcastPkts_rate & ifOutUcastPkts_rate
ifInErrors_rate & ifOutErrors_rate
rx_ave_pktsize & tx_ave_pktsize
ifOperStatus
ifAdminStatus
ifSpeed
ifMtu


Dus zou het mogelijk moeten zijn met ifIn... & ifOut.... om iets van DDoS alerting te doen. (meer info over andere metrics: http://observium.org/wiki/Alerting_Metrics_and_Attributes, er zullen met de toekomst waarschijnlijk wel nog meer metrics beschikbaar worden.)


Verder is het toch niet zo vreemd dat ik "The-BosS" niet herken in "CodeKiller"... in de signatures had ik het inmiddels al wel gezien ja :-)

De simpele reden waarom ik daar niet als "The-BosS" bekend ben was omdat om het vorige irc netwerk waar we zaten de nick al in gebruik was en CodeKiller mijn fallback nick is ;).