<div>Hi</div><div><br></div><div>i'm using collectd 4.10.1-1+squeeze2 even on my gateway.</div><div><br></div><div><br></div><div>sometimes i realize syn-flood attacks on the gateway identified by lot of packages on the external interface and of course i collect these data by collectd and transfer them by using the network plugin to a defined collectd-server.</div>
<div><br></div><div>I'd like to be able to react directly on the gateway in the moment the syn-attack starts, cause these attacks are often really short, less than a minute</div><div><br></div><div>for instance, i'd like to dump packages by using tcpdump</div>
<div><br></div><div>so i have read something about collectd thresholds, notifications, NotificationsExec and Chains + Targets.</div><div><br></div><div>The question is:</div><div><br></div><div>which configuration would be the best solution to fix the problem, for instance:</div>
<div><br></div><div>if i define a threshold configuration, i don't want to get a notification, but rather execute a script to dump the packages</div><div><br></div><div>    <Plugin "interfaces"></div><div>
        <Type "if_packets"></div><div>           Instance "eth0"</div><div>           DataSource "rx"</div><div>           FailureMax 100000</div><div>        </Type></div><div>    </Plugin></div>
<div><br></div><div>any suggestions ?!</div><div><br></div><div><br></div><div>lftgl</div>