Намерих много интересна статия в Линуксария за това как да открием дали нашият сървър е атакуван DDoS (Разпределено отказване на услуга), Или какво е същото, Атака за отказ на услуги.
Този тип атака е доста често срещана и може да е причината сървърите ни да са малко бавни (въпреки че може да се окаже и проблем със слой 8) и никога не пречи да бъдете предупредени. За да направите това, можете да използвате инструмента NETSTAT, което ни позволява да виждаме мрежови връзки, маршрутни таблици, статистика на интерфейса и други поредици от неща.
Примери за NetStat
netstat -на
Този екран ще включва всички активни интернет връзки на сървъра и само установени връзки.
netstat -an | grep: 80 | вид
Показвайте само активни интернет връзки към сървъра на порт 80, който е http порта, и сортирайте резултатите. Полезно при откриване на едно наводнение (наводнение), така че позволява разпознаване на много връзки от IP адрес.
netstat -n -p | grep SYN_REC | wc -l
Тази команда е полезна, за да се знае колко активни SYNC_REC се случват на сървъра. Броят трябва да е доста нисък, за предпочитане по-малък от 5. В случаите на атаки с отказ за услуга или пощенски бомби броят може да бъде доста голям. Стойността обаче винаги зависи от системата, така че висока стойност може да е нормална за друг сървър.
netstat -n -p | grep SYN_REC | сортиране -u
Направете списък на всички IP адреси на участващите.
netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{print $ 1}'
Избройте всички уникални IP адреси на възела, които изпращат състоянието на връзката SYN_REC.
netstat -ntu | awk '{print $ 5}' | cut -d: -f1 | сортиране | uniq -c | сортиране -n
Използвайте командата netstat, за да изчислите и преброите броя на връзките от всеки IP адрес, който правите към сървъра.
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | сортиране | uniq -c | сортиране -n
Брой IP адреси, които се свързват към сървъра чрез TCP или UDP протокол.
netstat -ntu | grep ESTAB | awk '{print $ 5}' | cut -d: -f1 | сортиране | uniq -c | сортиране -nr
Проверете връзките с надпис ESTABLISHED вместо всички връзки и покажете връзките за всеки IP.
netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1
Показване и списък на IP адресите и техния брой връзки, които се свързват към порт 80 на сървъра. Порт 80 се използва предимно от HTTP за уеб заявки.
Как да смекчим DOS атака
След като намерите IP адреса, който сървърът атакува, можете да използвате следните команди, за да блокирате връзката им с вашия сървър:
iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT
Имайте предвид, че трябва да замените $ IPADRESS с IP адресите, които са намерени с netstat.
След задействане на горната команда, УБИЙТЕ всички httpd връзки, за да почистите системата си и да я рестартирате по-късно, като използвате следните команди:
killall -УБИЙ httpd
услуга httpd старт # За системи Red Hat / etc / init / d / apache2 рестартиране # За системи Debian
Fuente: Линуксария
Mozilla е принудена да добавя DRM към видеоклипове във Firefox
http://alt1040.com/2014/05/mozilla-drm-firefox
Знам, че няма нищо общо с публикацията. Но бих искал да знам какво мислите за това. Хубавото е, че може да се деактивира.
Човече, за дебати е форум.
Вие, който сте човек от iproute2, опитайте 'ss' ...
Съгласен съм с Elav, форумът е за нещо ... Няма да изтрия коментара, но, моля, използвайте предвидените места за всяко нещо.
Вместо grep, egrep
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | сортиране | uniq -c | сортиране -n
от
netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | сортиране | uniq -c | сортиране -n
Това ще бъде за проект, който ще създам там, където има много възможности да бъда DDoS цели
Благодаря ви много за информацията, напоследък конкуренцията е тежка по темата.