Un vecchio computer con Linux sopra, quanche script, una configurazione particolare di iptables, il pacchetto rrdtool.

Lo scopo è di sapere quanti attacchi da parte di worm arrivano da Internet ogni momento e di renderli in forma grafica e statistica.

Il risultato è il Virus Sensor.

Come è nata l’idea

Avevo appena attivato l’abbonamento ADSL, ed appena collegato il mio nuovo router. Passato l’entusiasmo iniziale per la velocità e la comodità di questo tipo di collegamento (ho scelto un abbonamento flat), la mia innaturale curiosità ha preso il sopravvento. Anche con il computer spento, il led di attività del router ogni tanto lampeggiava, spesso per cinque-dieci secondi di fila.

Acceso il computer, avviato lo sniffer di rete, modificata al volo la configurazione del router per mandarmi tutto quello che arrivava da Internet, in dieci minuti avevo collezionato un centinaio di pacchetti IP. Ad una rapida analisi apparivano tutti diretti ad un limitato gruppo di porte TCP (135, 139 e 445) e UDP (1434 ed un gruppo da 1025 a 1040).

Dopo qualche ora avevo un’idea più precisa, e mi frullava per la testa un progetto.

Com’è fatto il Virus Sensor

L’idea di base è stata di sfruttare il più possibile le funzioni già presenti in una normale installazione Linux, in particolare:

  • il firewall integrato nel kernel con le sue utility di configurazione, in particolare iptables.
  • il servizio di log di sistema.
  • il file con la configurazione di avvio inittab.

Il tutto affiancato da un paio di script bash, l’utility rrdtool e magari anche un sito web dove pubblicare i grafici.

Con iptables ho configurato il firewall per scrivere una riga di log per ogni pacchetto IP in arrivo da Internet, sfruttando il target LOG. Il log di sistema è configurato per deviare le righe verso una named pipe a cui è attaccato in attesa uno script bash che legge le righe, ne estrae i dati, li elabora e li memorizza usando rrdtool. Lo script è inserito fra quelli presenti in inittab, per cui viene avviato alla partenza del computer.

Un altro script viene avviato ogni 24 ore e si occupa di generare i grafici e spedirli al sito web su cui sono pubblicati.

Tutto qui. I grafici generati dal Virus Sensor saranno sempre raggiungibili dalla pagina principale di questo sito, senza dover cercare in mezzo agli altri articoli. Ogni 24 ore, a meno di disastri, i grafici vengono aggiornati con i nuovi dati.