Aghju trovu un articulu assai interessante in Linuxaria nantu à cumu per rilevà se u nostru Servitore hè sottu attaccu DDoS (Negazione Distribuita di Serviziu), O ciò chì hè u listessu, Attaccu di Negazione di Servizi.
Stu tipu d'attaccu hè abbastanza cumunu è pò esse u mutivu perchè i nostri servitori sò un pocu lenti (ancu se pò ancu esse un prublema di Livellu 8) è ùn face mai male d'avvertì. Per fà questu, pudete aduprà u strumentu netstat, chì ci permette di vede cunnessioni di rete, tavule di rotte, statistiche d'interfaccia è altre serie di cose.
Esempii NetStat
netstat -na
Questa schermu cumprenderà tutte e cunnessione Internet attive nantu à u servitore è solu cunnessioni stabilite.
netstat -an | grep: 80 | sorte
Mostra solu cunnessioni Internet attive à u servitore in u portu 80, chì hè u portu http, è sorte i risultati. Utile per rilevà una sola inundazione (piena) dunque permette di ricunnosce parechje cunnessioni chì venenu da un indirizzu IP.
netstat -n -p | grep SYN_REC | wc -l
Questu cumandamentu hè utile per sapè quanti SYNC_REC attivi si trovanu nantu à u servitore. U numeru deve esse abbastanza bassu, preferibilmente menu di 5. In incidenti di rifiuti di attacchi di serviziu o bombe mail, u numeru pò esse abbastanza altu. Tuttavia, u valore hè sempre dipendente di u sistema, dunque un valore elevatu pò esse normale in un altru servitore.
netstat -n -p | grep SYN_REC | sorte -u
Fate una lista di tutti l'indirizzi IP di quelli chì participanu.
netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{stampa $ 1}'
Elencate tutti l'indirizzi IP unichi di u node chì invianu u statutu di cunnessione SYN_REC.
netstat -ntu | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sorte -n
Aduprate u cumandimu netstat per calculà è cuntà u numeru di cunnessioni da ogni indirizzu IP chì fate à u servitore.
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sorte -n
Numaru d'indirizzi IP chì si cunnettanu à u servitore cù u protocolu TCP o UDP.
netstat -ntu | grep ESTAB | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sorte -nr
Verificate e cunnessioni marcate STABILITU invece di tutte e cunnessioni, è mostrate e cunnessioni per ogni IP.
netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sorte | uniq -c | sort -nk 1
Mostra è elencu di indirizzi IP è u so numeru di cunnessioni chì si cunnettanu à u portu 80 di u servitore. U Portu 80 hè adupratu principalmente da HTTP per richieste Web.
Cume mitigà un attaccu DOS
Una volta truvatu l'IP chì u servitore attacca pudete aduprà i seguenti cumandamenti per bluccà a so cunnessione à u vostru servitore:
iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT
Innota chì avete da rimpiazzà $ IPADRESS cù l'indirizzi IP chì sò stati trovi cù netstat.
Dopu avè sparatu u cumandimu sopra, UTILA tutte e cunnessioni httpd per pulì u vostru sistema è riavvialu dopu utilizendu i seguenti cumandamenti:
killall -KILL httpd
serviziu httpd start # Per i sistemi Red Hat / etc / init / d / apache2 restart # Per i sistemi Debian
source: Linuxaria
7 cumenti, lasciate i toi
Mozilla hè furzatu à aghjunghje DRM à i video in Firefox
http://alt1040.com/2014/05/mozilla-drm-firefox
Sò chì ùn hà nunda à chì vede cù u postu. Ma mi piacerebbe sapè ciò chì ne pensate di questu. A cosa bona hè chì pò esse disattivata.
Omu, per i dibattiti hè foru.
Voi chì site un omu iproute2, pruvate 'ss' ...
Sò d'accordu cun Elav, u foru hè per qualcosa ... Ùn cancelleraghju micca u cummentariu ma, per piacè, duvete fà usu di i spazii previsti per ogni cosa.
Invece di grep, egrep
netstat -anp | grep 'tcp | udp' | awk '{stampa $ 5}' | cut -d: -f1 | sort | uniq -c | sorte -n
da
netstat -anp | egrep 'tcp | udp' | awk '{stampa $ 5}' | cut -d: -f1 | sort | uniq -c | sorte -n
Questu serà per un prughjettu chì aghju da stallà induve ci sò parechje possibilità di esse obiettivi DDoS
Grazie mille per l'infurmazioni, ultimamente a cumpetizione hè pisante nantu à u sughjettu.