Netstat: Tips per detectar atacs DDoS

M'he trobat un article molt interessant en Linuxaria sobre com detectar si el nostre servidor es troba sota atac DDoS (Distributed Denial of Service), O el que és el mateix, Atac de denegació de Serveis.

Netstat per evitar atacs DDoS

Aquest tipus d'atacs és força habitual i pot ser el motiu pel qual els nostres servidors estiguin una mica lents (tot i que també pot ser un problema de Capa 8) i mai està de mes estar previnguts. Per a això, es pot fer servir l'eina netstat, La qual ens permet veure les connexions de xarxa, taules de rutes, estadístiques de les interfícies i altres sèries de coses.

Exemples d'netstat

netstat -na

Aquesta pantalla s'inclouen totes les connexions d'Internet actives al servidor i només les connexions establertes.

netstat -an | grep: 80 | sort

Mostra només les connexions actives d'Internet a l'servidor al port 80, que és el port http i ordenar els resultats. Útil en la detecció d'una sola inundació (inundació) Pel que permet reconèixer moltes connexions provinents d'una adreça IP.

netstat -n -p | grep SYN_REC | wc -l

Aquesta comanda és útil per saber quants SYNC_REC activa s'estan produint al servidor. El nombre ha de ser bastant baix, preferiblement menys de 5. En els incidents d'atacs de denegació de servei o bombes per correu, el nombre pot ser bastant alt. No obstant això, el valor sempre depèn de el sistema, de manera que un valor alt pot ser normal en un altre servidor.

netstat -n -p | grep SYN_REC | sort -o

Fes una llista de totes les adreces IP dels implicats.

netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{print $ 1}'

Enumereu totes les adreces IP úniques de el node que estan enviant l'estat de la connexió SYN_REC.

netstat -ntu | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -n

Utilitzeu la comanda netstat per calcular i comptar el nombre de connexions de cada adreça IP que fa a servidor.

netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -n

Quantitat d'adreces IP que es connecten a l'servidor mitjançant el protocol TCP o UDP.

netstat -ntu | grep ESTAB | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -nr

Consulteu les connexions marcades com ESTABLERTS en lloc de totes les connexions, i mostra les connexions per a cada IP.

netstat -pla | grep: 80 | awk { 'print $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1

Mostra i llista d'adreces IP i el seu nombre de connexions que es connecten a port 80 al servidor. El port 80 és utilitzat principalment per HTTP per peticions web.

Com mitigar un atac DOS

Un cop hagueu trobat la IP que estan atacant el servidor pot utilitzar les ordres següents per bloquejar la seva connexió al seu servidor:

iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT

Tingueu en compte que vostè ha de reemplaçar $ IPADRESS amb les adreces IP que s'han trobat amb netstat.

Després de la cocció la comanda anterior, MATAR totes les connexions httpd per netejar el seu sistema i reiniciar posteriorment usant les ordres següents:

killall -KILL httpd
service httpd start # Per als sistemes de Red Hat / etc / init / d / apache2 restart # Per a sistemes Debian

font: Linuxaria


7 comentaris, deixa el teu

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   James_Che va dir

    Mozilla es veu obligada a afegir DRM als vídeos en Firefox
    http://alt1040.com/2014/05/mozilla-drm-firefox
    Es que no té a veure amb el post. Però m'agradaria saber que opinen d'això. El millor és que es pot desactivar.

    1.    ILAV va dir

      Home, per a debats està el FÒRUM.

      1.    MSX va dir

        Un. Que és un home de iproute2, provi amb 'ss' ...

    2.    nano va dir

      Coincideixo amb ILAV, per alguna cosa està el fòrum ... no esborraré el comentari però, per favor, cal fer ús dels espais disposats per a cada cosa.

  2.   LineaGrafica va dir

    En lloc de grep, egrep
    netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -n

    per

    netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -n

  3.   JuanSRC va dir

    Això em va a ser per a un projecte que vaig a muntar on hi ha moltes possibilitats de ser objectius de DDoS

  4.   Raiola mana i no el panda va dir

    Moltes gràcies per la informació, últimament la competència està pesadeta amb el tema.