M'he trobat un article molt interessant en Linuxaria sobre com detectar si el nostre servidor es troba sota atac DDoS (Distributed Denial of Service), O el que és el mateix, Atac de denegació de Serveis.
Aquest tipus d'atacs és força habitual i pot ser el motiu pel qual els nostres servidors estiguin una mica lents (tot i que també pot ser un problema de Capa 8) i mai està de mes estar previnguts. Per a això, es pot fer servir l'eina netstat, La qual ens permet veure les connexions de xarxa, taules de rutes, estadístiques de les interfícies i altres sèries de coses.
Exemples d'netstat
netstat -na
Aquesta pantalla s'inclouen totes les connexions d'Internet actives al servidor i només les connexions establertes.
netstat -an | grep: 80 | sort
Mostra només les connexions actives d'Internet a l'servidor al port 80, que és el port http i ordenar els resultats. Útil en la detecció d'una sola inundació (inundació) Pel que permet reconèixer moltes connexions provinents d'una adreça IP.
netstat -n -p | grep SYN_REC | wc -l
Aquesta comanda és útil per saber quants SYNC_REC activa s'estan produint al servidor. El nombre ha de ser bastant baix, preferiblement menys de 5. En els incidents d'atacs de denegació de servei o bombes per correu, el nombre pot ser bastant alt. No obstant això, el valor sempre depèn de el sistema, de manera que un valor alt pot ser normal en un altre servidor.
netstat -n -p | grep SYN_REC | sort -o
Fes una llista de totes les adreces IP dels implicats.
netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{print $ 1}'
Enumereu totes les adreces IP úniques de el node que estan enviant l'estat de la connexió SYN_REC.
netstat -ntu | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -n
Utilitzeu la comanda netstat per calcular i comptar el nombre de connexions de cada adreça IP que fa a servidor.
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -n
Quantitat d'adreces IP que es connecten a l'servidor mitjançant el protocol TCP o UDP.
netstat -ntu | grep ESTAB | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -nr
Consulteu les connexions marcades com ESTABLERTS en lloc de totes les connexions, i mostra les connexions per a cada IP.
netstat -pla | grep: 80 | awk { 'print $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1
Mostra i llista d'adreces IP i el seu nombre de connexions que es connecten a port 80 al servidor. El port 80 és utilitzat principalment per HTTP per peticions web.
Com mitigar un atac DOS
Un cop hagueu trobat la IP que estan atacant el servidor pot utilitzar les ordres següents per bloquejar la seva connexió al seu servidor:
iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT
Tingueu en compte que vostè ha de reemplaçar $ IPADRESS amb les adreces IP que s'han trobat amb netstat.
Després de la cocció la comanda anterior, MATAR totes les connexions httpd per netejar el seu sistema i reiniciar posteriorment usant les ordres següents:
killall -KILL httpd
service httpd start # Per als sistemes de Red Hat / etc / init / d / apache2 restart # Per a sistemes Debian
font: Linuxaria
Mozilla es veu obligada a afegir DRM als vídeos en Firefox
http://alt1040.com/2014/05/mozilla-drm-firefox
Es que no té a veure amb el post. Però m'agradaria saber que opinen d'això. El millor és que es pot desactivar.
Home, per a debats està el FÒRUM.
Un. Que és un home de iproute2, provi amb 'ss' ...
Coincideixo amb ILAV, per alguna cosa està el fòrum ... no esborraré el comentari però, per favor, cal fer ús dels espais disposats per a cada cosa.
En lloc de grep, egrep
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -n
per
netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -n
Això em va a ser per a un projecte que vaig a muntar on hi ha moltes possibilitats de ser objectius de DDoS
Moltes gràcies per la informació, últimament la competència està pesadeta amb el tema.