NetStat: Savjeti za otkrivanje DDoS napada

Pronašao sam vrlo zanimljiv članak u Linuxaria o tome kako otkriti je li naš Server napadnut DDoS (Distribuirano uskraćivanje usluge), Ili što je isto, Napad uskraćivanja usluga.

NetStat za sprečavanje DDoS napada

Ova vrsta napada prilično je česta i može biti razlog zašto su naši poslužitelji pomalo spori (iako to također može predstavljati problem sloja 8) i nikad ne škodi da ih se upozori. Da biste to učinili, možete koristiti alat netstat, koji nam omogućava da vidimo mrežne veze, tablice ruta, statistiku sučelja i druge serije stvari.

Primjeri NetStat-a

netstat -na

Ovaj zaslon uključivat će sve aktivne internetske veze na poslužitelju i samo uspostavljene veze.

netstat -an | grep: 80 | sortirati

Prikažite samo aktivne internetske veze s serverom na portu 80, koji je http port, i sortirajte rezultate. Korisno u otkrivanju jedne poplave (poplava), tako da omogućava prepoznavanje mnogih veza sa IP adrese.

netstat -n -p | grep SYN_REC | wc -l

Ova je naredba korisna da bi se znalo koliko se aktivnih SYNC_REC-ova događa na poslužitelju. Broj bi trebao biti prilično nizak, po mogućnosti manji od 5. U slučajevima napada uskraćivanja usluge ili poštanskih bombi, taj broj može biti prilično velik. Međutim, vrijednost uvijek ovisi o sistemu, pa je visoka vrijednost možda normalna na drugom poslužitelju.

netstat -n -p | grep SYN_REC | sort -u

Napravite listu svih IP adresa onih koji su uključeni.

netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{ispisati $ 1}'

Navedite sve jedinstvene IP adrese čvora koji šalju status veze SYN_REC.

netstat -ntu | awk '{print $ 5}' | cut -d: -f1 | sortiraj | uniq -c | sort -n

Upotrijebite naredbu netstat za izračunavanje i brojanje broja veza sa svake IP adrese koju napravite na poslužitelj.

netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | sortiraj | uniq -c | sort -n

Broj IP adresa koje se povezuju na server pomoću TCP ili UDP protokola.

netstat -ntu | grep ESTAB | awk '{print $ 5}' | cut -d: -f1 | sortiraj | uniq -c | sort -nr

Provjerite veze s oznakom ESTABLISHED umjesto svih veza i pokažite veze za svaku IP adresu.

netstat -plan | grep: 80 | awk {'ispiši $ 5'} | cut -d: -f 1 | sortiraj | uniq -c | sortiraj -nk 1

Prikaz i popis IP adresa i njihov broj veza koje se povezuju na port 80 na serveru. Port 80 HTTP prvenstveno koristi za web zahtjeve.

Kako ublažiti DOS napad

Nakon što pronađete IP adresu koju server napada, možete koristiti sljedeće naredbe da biste blokirali njihovu vezu s vašim serverom:

iptables -A ULAZ 1-s $ IPADRES -j PAD / ODBIJANJE

Imajte na umu da morate zamijeniti $ IPADRESS s IP adresama koje su pronađene sa netstat.

Nakon pokretanja gornje naredbe, UBIJITE sve httpd veze kako biste očistili sistem i ponovo ga pokrenuli kasnije koristeći sljedeće naredbe:

killall -KILL httpd
usluga httpd start # Za Red Hat sisteme / etc / init / d / apache2 restart # Za Debian sisteme

Izvor: Linuxaria


Sadržaj članka pridržava se naših principa urednička etika. Da biste prijavili grešku, kliknite ovdje.

7 komentara, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   James_Che rekao je

    Mozilla je prisiljena dodati DRM videozapisima u Firefoxu
    http://alt1040.com/2014/05/mozilla-drm-firefox
    Znam da to nema nikakve veze s objavom. Ali volio bih znati što mislite o ovome. Dobra stvar je što se može onemogućiti.

    1.    elav rekao je

      Čovječe, za rasprave je forum.

      1.    MSX rekao je

        Vi koji ste čovjek iz iproute2, probajte 's' ...

    2.    nano rekao je

      Slažem se s Elavom, forum je za nešto ... Neću izbrisati komentar, ali, molim vas, iskoristite predviđene prostore za svaku stvar.

  2.   Grafička linija rekao je

    Umjesto grep, egrep
    netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | sortiraj | uniq -c | sort -n

    por

    netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | sortiraj | uniq -c | sort -n

  3.   JuanSRC rekao je

    Ovo će biti za projekt koji ću postaviti gdje postoji mnogo mogućnosti da postanem DDoS meta

  4.   Raiola vlada, a ne panda rekao je

    Puno vam hvala na informacijama, u posljednje vrijeme konkurencija je velika na tu temu.