لقد وجدت مقالًا مثيرًا للاهتمام في لينكساريا حول كيفية اكتشاف ما إذا كان خادمنا يتعرض للهجوم دوس (رفض الخدمة الموزعة)، أو ما هو نفسه ، هجوم رفض الخدمات.
هذا النوع من الهجوم شائع جدًا وقد يكون سبب بطء خوادمنا إلى حد ما (على الرغم من أنه قد يكون أيضًا مشكلة من الطبقة الثامنة) ولا يضر أن يتم تحذيرك مسبقًا. للقيام بذلك ، يمكنك استخدام الأداة نتستت، والذي يسمح لنا برؤية اتصالات الشبكة وجداول المسارات وإحصائيات الواجهة وسلسلة أخرى من الأشياء.
أمثلة على NetStat
نتستت-نا
ستشمل هذه الشاشة جميع اتصالات الإنترنت النشطة على الخادم والاتصالات القائمة فقط.
netstat -an | grep: 80 | فرز
اعرض فقط اتصالات الإنترنت النشطة بالخادم على المنفذ 80 ، وهو منفذ http ، وفرز النتائج. يفيد في الكشف عن فيضان واحد (فيضان) لذلك يسمح بالتعرف على العديد من الاتصالات من عنوان IP.
netstat -n -p | grep SYN_REC | مرحاض -l
هذا الأمر مفيد لمعرفة عدد SYNC_RECs النشطة التي تحدث على الخادم. يجب أن يكون الرقم منخفضًا جدًا ، ويفضل أن يكون أقل من 5. في حالات هجمات رفض الخدمة أو القنابل البريدية ، يمكن أن يكون الرقم مرتفعًا جدًا. ومع ذلك ، فإن القيمة تعتمد دائمًا على النظام ، لذلك قد تكون القيمة العالية طبيعية على خادم آخر.
netstat -n -p | grep SYN_REC | فرز -u
قم بعمل قائمة بجميع عناوين IP الخاصة بالمشاركين.
netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: "{print $ 1}"
قم بسرد كافة عناوين IP الفريدة الخاصة بالعقدة التي ترسل حالة اتصال SYN_REC.
netstat -ntu | awk '{print $ 5}' | قطع -d: -f1 | فرز | uniq -c | فرز -n
استخدم الأمر netstat لحساب وحساب عدد الاتصالات من كل عنوان IP تقوم بإجرائه بالخادم.
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | قطع -d: -f1 | فرز | uniq -c | فرز -n
عدد عناوين IP التي تتصل بالخادم باستخدام بروتوكول TCP أو UDP.
netstat -ntu | grep ESTAB | awk '{print $ 5}' | قطع -d: -f1 | فرز | uniq -c | فرز -nr
تحقق من التوصيلات التي تم وضع علامة عليها ESTABLISHED بدلاً من جميع التوصيلات ، واعرض الاتصالات لكل IP.
netstat -plan | grep: 80 | awk {'print $ 5'} | قص -d: -f 1 | فرز | uniq -c | فرز -nk 1
عرض وقائمة عناوين IP وعدد الاتصالات الخاصة بها التي تتصل بالمنفذ 80 على الخادم. يستخدم المنفذ 80 بشكل أساسي بواسطة HTTP لطلبات الويب.
كيفية التخفيف من هجوم DOS
بمجرد العثور على عنوان IP الذي يهاجمه الخادم ، يمكنك استخدام الأوامر التالية لحظر اتصالهم بخادمك:
iptables -A INPUT 1 -s $ IPADRESS -j إسقاط / رفض
لاحظ أنه يجب عليك استبدال $ IPADRESS بعناوين IP التي تم العثور عليها بـ netstat.
بعد تشغيل الأمر أعلاه ، اقتل جميع اتصالات httpd لتنظيف نظامك وإعادة تشغيله لاحقًا باستخدام الأوامر التالية:
Killall -KILL httpd
service httpd start # لأنظمة Red Hat / etc / init / d / apache2 أعد تشغيل # لأنظمة دبيان
مصدر: لينكساريا
تُجبر Mozilla على إضافة DRM إلى مقاطع الفيديو في Firefox
http://alt1040.com/2014/05/mozilla-drm-firefox
أعلم أنه لا علاقة له بالمنشور. لكني أود أن أعرف ما هو رأيك في هذا. الشيء الجيد هو أنه يمكن تعطيله.
الرجل ، للمناقشات المنتدى.
أنت رجل iproute2 ، جرب ...
أتفق مع Elav ، المنتدى مخصص لشيء ما ... لن أحذف التعليق ولكن ، من فضلك ، استخدم المساحات المتوفرة لكل شيء.
بدلاً من grep ، egrep
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | قطع -d: -f1 | فرز | uniq -c | فرز -n
بواسطة
netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | قطع -d: -f1 | فرز | uniq -c | فرز -n
سيكون هذا لمشروع سأقوم بإعداده حيث توجد العديد من الاحتمالات لكونها أهداف DDoS
شكرًا جزيلاً على المعلومات ، فقد أصبحت المنافسة مؤخرًا شديدة حول هذا الموضوع.