NetStat: Cunsiglii per rilevà attacchi DDoS

Aghju trovu un articulu assai interessante in Linuxaria nantu à cumu per rilevà se u nostru Servitore hè sottu attaccu DDoS (Negazione Distribuita di Serviziu), O ciò chì hè u listessu, Attaccu di Negazione di Servizi.

NetStat per prevene attacchi DDoS

Stu tipu d'attaccu hè abbastanza cumunu è pò esse u mutivu perchè i nostri servitori sò un pocu lenti (ancu se pò ancu esse un prublema di Livellu 8) è ùn face mai male d'avvertì. Per fà questu, pudete aduprà u strumentu netstat, chì ci permette di vede cunnessioni di rete, tavule di rotte, statistiche d'interfaccia è altre serie di cose.

Esempii NetStat

netstat -na

Questa schermu cumprenderà tutte e cunnessione Internet attive nantu à u servitore è solu cunnessioni stabilite.

netstat -an | grep: 80 | sorte

Mostra solu cunnessioni Internet attive à u servitore in u portu 80, chì hè u portu http, è sorte i risultati. Utile per rilevà una sola inundazione (piena) dunque permette di ricunnosce parechje cunnessioni chì venenu da un indirizzu IP.

netstat -n -p | grep SYN_REC | wc -l

Questu cumandamentu hè utile per sapè quanti SYNC_REC attivi si trovanu nantu à u servitore. U numeru deve esse abbastanza bassu, preferibilmente menu di 5. In incidenti di rifiuti di attacchi di serviziu o bombe mail, u numeru pò esse abbastanza altu. Tuttavia, u valore hè sempre dipendente di u sistema, dunque un valore elevatu pò esse normale in un altru servitore.

netstat -n -p | grep SYN_REC | sorte -u

Fate una lista di tutti l'indirizzi IP di quelli chì participanu.

netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{stampa $ 1}'

Elencate tutti l'indirizzi IP unichi di u node chì invianu u statutu di cunnessione SYN_REC.

netstat -ntu | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sorte -n

Aduprate u cumandimu netstat per calculà è cuntà u numeru di cunnessioni da ogni indirizzu IP chì fate à u servitore.

netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sorte -n

Numaru d'indirizzi IP chì si cunnettanu à u servitore cù u protocolu TCP o UDP.

netstat -ntu | grep ESTAB | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sorte -nr

Verificate e cunnessioni marcate STABILITU invece di tutte e cunnessioni, è mostrate e cunnessioni per ogni IP.

netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sorte | uniq -c | sort -nk 1

Mostra è elencu di indirizzi IP è u so numeru di cunnessioni chì si cunnettanu à u portu 80 di u servitore. U Portu 80 hè adupratu principalmente da HTTP per richieste Web.

Cume mitigà un attaccu DOS

Una volta truvatu l'IP chì u servitore attacca pudete aduprà i seguenti cumandamenti per bluccà a so cunnessione à u vostru servitore:

iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT

Innota chì avete da rimpiazzà $ IPADRESS cù l'indirizzi IP chì sò stati trovi cù netstat.

Dopu avè sparatu u cumandimu sopra, UTILA tutte e cunnessioni httpd per pulì u vostru sistema è riavvialu dopu utilizendu i seguenti cumandamenti:

killall -KILL httpd
serviziu httpd start # Per i sistemi Red Hat / etc / init / d / apache2 restart # Per i sistemi Debian

source: Linuxaria


U cuntenutu di l'articulu aderisce à i nostri principii di etica edituriale. Per signalà un errore cliccate quì.

7 cumenti, lasciate i toi

Lasciate u vostru cummentariu

U vostru indirizzu email ùn esse publicatu.

*

*

  1. Responsabile di i dati: Miguel Ángel Gatón
  2. Scopu di i dati: Cuntrolla SPAM, gestione di cumenti.
  3. Legitimazione: U vostru accunsentu
  4. Cumunicazione di i dati: I dati ùn seranu micca cumunicati à terzi, eccettu per obbligazione legale.
  5. Archiviazione di dati: Base di dati ospitata da Occentus Networks (UE)
  6. Diritti: In ogni mumentu pudete limità, recuperà è cancellà e vostre informazioni.

  1.   Ghjacumu_Che dijo

    Mozilla hè furzatu à aghjunghje DRM à i video in Firefox
    http://alt1040.com/2014/05/mozilla-drm-firefox
    Sò chì ùn hà nunda à chì vede cù u postu. Ma mi piacerebbe sapè ciò chì ne pensate di questu. A cosa bona hè chì pò esse disattivata.

    1.    elav dijo

      Omu, per i dibattiti hè foru.

      1.    msx dijo

        Voi chì site un omu iproute2, pruvate 'ss' ...

    2.    nano dijo

      Sò d'accordu cun Elav, u foru hè per qualcosa ... Ùn cancelleraghju micca u cummentariu ma, per piacè, duvete fà usu di i spazii previsti per ogni cosa.

  2.   Linea grafica dijo

    Invece di grep, egrep
    netstat -anp | grep 'tcp | udp' | awk '{stampa $ 5}' | cut -d: -f1 | sort | uniq -c | sorte -n

    da

    netstat -anp | egrep 'tcp | udp' | awk '{stampa $ 5}' | cut -d: -f1 | sort | uniq -c | sorte -n

  3.   JuanSRC dijo

    Questu serà per un prughjettu chì aghju da stallà induve ci sò parechje possibilità di esse obiettivi DDoS

  4.   Raiola guverna è micca u panda dijo

    Grazie mille per l'infurmazioni, ultimamente a cumpetizione hè pisante nantu à u sughjettu.

bool (veru)