Pronašao sam vrlo zanimljiv članak u linuxaria o tome kako otkriti je li naš Server napadnut DDoS (Distribuirano uskraćivanje usluge), Ili što je isto, Napad uskraćivanja usluga.
Ova vrsta napada prilično je česta i može biti razlog zašto su naši poslužitelji pomalo spori (iako to također može predstavljati problem sloja 8) i nikad ne škodi da ih se upozori. Da biste to učinili, možete koristiti alat netstat, koji nam omogućava da vidimo mrežne veze, tablice ruta, statistiku sučelja i druge serije stvari.
Primjeri NetStat-a
netstat -na
Ovaj zaslon uključivat će sve aktivne internetske veze na poslužitelju i samo uspostavljene veze.
netstat -an | grep: 80 | sortirati
Prikažite samo aktivne internetske veze s serverom na portu 80, koji je http port, i sortirajte rezultate. Korisno u otkrivanju jedne poplave (poplava), tako da omogućava prepoznavanje mnogih veza sa IP adrese.
netstat -n -p | grep SYN_REC | wc -l
Ova je naredba korisna da bi se znalo koliko se aktivnih SYNC_REC-ova događa na poslužitelju. Broj bi trebao biti prilično nizak, po mogućnosti manji od 5. U slučajevima napada uskraćivanja usluge ili poštanskih bombi, taj broj može biti prilično velik. Međutim, vrijednost uvijek ovisi o sistemu, pa je visoka vrijednost možda normalna na drugom poslužitelju.
netstat -n -p | grep SYN_REC | sortiraj -u
Napravite listu svih IP adresa onih koji su uključeni.
netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{ispisati $ 1}'
Navedite sve jedinstvene IP adrese čvora koji šalju status veze SYN_REC.
netstat -ntu | awk '{print $ 5}' | cut -d: -f1 | sortiraj | uniq -c | sort -n
Upotrijebite naredbu netstat za izračunavanje i brojanje broja veza sa svake IP adrese koju napravite na poslužitelj.
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | sortiraj | uniq -c | sort -n
Broj IP adresa koje se povezuju na server pomoću TCP ili UDP protokola.
netstat -ntu | grep ESTAB | awk '{print $ 5}' | cut -d: -f1 | sortiraj | uniq -c | sort -nr
Provjerite veze s oznakom ESTABLISHED umjesto svih veza i pokažite veze za svaku IP adresu.
netstat -plan | grep: 80 | awk {'ispiši $ 5'} | cut -d: -f 1 | sortiraj | uniq -c | sortiraj -nk 1
Prikaz i popis IP adresa i njihov broj veza koje se povezuju na port 80 na serveru. Port 80 HTTP prvenstveno koristi za web zahtjeve.
Kako ublažiti DOS napad
Nakon što pronađete IP adresu koju server napada, možete koristiti sljedeće naredbe da biste blokirali njihovu vezu s vašim serverom:
iptables -A ULAZ 1-s $ IPADRES -j PAD / ODBIJANJE
Imajte na umu da morate zamijeniti $ IPADRESS s IP adresama koje su pronađene sa netstat.
Nakon pokretanja gornje naredbe, UBIJITE sve httpd veze kako biste očistili sistem i ponovo ga pokrenuli kasnije koristeći sljedeće naredbe:
killall -KILL httpd
usluga httpd start # Za Red Hat sisteme / etc / init / d / apache2 restart # Za Debian sisteme
Izvor: linuxaria
7 komentara, ostavi svoj
Mozilla je prisiljena dodati DRM videozapisima u Firefoxu
http://alt1040.com/2014/05/mozilla-drm-firefox
Znam da to nema nikakve veze s objavom. Ali volio bih znati što mislite o ovome. Dobra stvar je što se može onemogućiti.
Čovječe, za rasprave je forum.
Vi koji ste čovjek iz iproute2, probajte 's' ...
Slažem se s Elavom, forum je za nešto ... Neću izbrisati komentar, ali, molim vas, iskoristite predviđene prostore za svaku stvar.
Umjesto grep, egrep
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | sortiraj | uniq -c | sort -n
por
netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | sortiraj | uniq -c | sort -n
Ovo će biti za projekt koji ću postaviti gdje postoji mnogo mogućnosti da postanem DDoS meta
Puno vam hvala na informacijama, u posljednje vrijeme konkurencija je velika na tu temu.