Suivi graphique des attaques DDOS avec Munin
Date: 14/06/2012 | Catégories: Open-source,Planet-libre,Reseau | Tags: ddos,munin,plugin
Les attaques DDOS sont une véritable plaie pour les sites Internet. Même pour des sites à forte audience et donc dimensionnés au niveau architecture système et réseau pour absorber ces aléas, il est important de surveiller de prêt ces attaques. Nous avions déjà abordé ce sujet ensemble en mettant en place une alerte Nagios sur attaque DDOS. Nous allons ici compléter cette supervision en apportant un suivi graphique de ces attaques en utilisant un plugin spécifique pour Munin.
Installation de Munin
Il suffit de vous reporter au billet que j'avais écrit sur le sujet il y a quelques mois. Le plugin qui va se charger de la détection des attaques DDOS doit être installé sur chacun des noeuds ("Munin node") à surveiller.
Principe du Plugin ddos_
Ce plugin se base sur le même principe que le plugin Nagios. Il va lire le nombre de connexions de type SYN_RECV ouvertes et les renvoyer au noeud Munin maître pour que ce dernier stocke l'information dans une base RRD et l'affiche à la demande dans un page Web.
Le plugin est disponible sur mon GitHub (il est donc possible de l'améliorer et d'en faire profiter la communauté).
Si vous êtes intéressé par l'écriture de vos propres plugins pour Munin, le plus simple est de commencer par la lecture de la documentation officielle.
Revenons à notre plugin ddos_.
Pour l'installer sur un noeud, la procédure à suivre est la suivante:
cd /tmp wget https://raw.github.com/nicolargo/muninplugins/master/ddos_ sudo munin-node-configure --shell sudo cp ddos_ /usr/share/munin/plugins/ sudo chmod a+x /usr/share/munin/plugins/ddos_ sudo munin-node-configure --shell sudo ln -s /usr/share/munin/plugins/ddos_ /etc/munin/plugins/ddos_ sudo service munin-node restart
On peut vérifier que le plugin est bien actif en saisissant la commande:
sudo munin-node-configure | grep ddos ddos_ | yes |
Il faut ensuite attendre quelques heures pour voir apparaître le graphe au niveau de votre serveur Munin.
Par défaut, le plugin est configuré pour afficher les valeurs en WARNING quand le nombre de SYN_RECV dépasse le seuil des 50 et en CRITICAL au dessus de 70 (vous pouvez bien sûr changer ces valeurs dans le munin.conf).
C'est pas beau Munin 🙂 ?