Našel jsem velmi zajímavý článek v linuxaria jak zjistit, zda je náš server napaden DDoS (Distribuované odmítnutí služby), Nebo co je stejné, Útok odmítnutí služeb.
Tento typ útoku je poměrně běžný a může být důvodem, proč jsou naše servery poněkud pomalé (i když to může být také problém ve vrstvě 8) a nikdy neuškodí, abychom byli varováni. K tomu můžete použít nástroj netstat, což nám umožňuje vidět síťová připojení, směrovací tabulky, statistiky rozhraní a další řady věcí.
Příklady NetStat
netstat -na
Tato obrazovka bude zahrnovat všechna aktivní připojení k Internetu na serveru a pouze navázaná připojení.
netstat -an | grep: 80 | třídit
Zobrazit pouze aktivní internetová připojení k serveru na portu 80, což je port http, a seřadit výsledky. Užitečné při detekci jediné povodně (povodeň), takže umožňuje rozpoznat mnoho připojení z adresy IP.
netstat -n -p | grep SYN_REC | wc -l
Tento příkaz je užitečný pro zjištění, kolik aktivních SYNC_REC se na serveru vyskytuje. Počet by měl být poměrně nízký, nejlépe menší než 5. V případech odmítnutí služby nebo bombardování poštou může být jejich počet poměrně vysoký. Hodnota je však vždy závislá na systému, takže vysoká hodnota může být na jiném serveru normální.
netstat -n -p | grep SYN_REC | třídit -u
Vytvořte seznam všech adres IP zúčastněných.
netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{print $ 1}'
Seznam všech jedinečných IP adres uzlu, který odesílá stav připojení SYN_REC.
netstat -ntu | awk '{print $ 5}' | cut -d: -f1 | třídit | uniq -c | třídit -n
Pomocí příkazu netstat můžete vypočítat a spočítat počet připojení z každé adresy IP provedené na serveru.
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | třídit | uniq -c | třídit -n
Počet IP adres, které se připojují k serveru pomocí protokolu TCP nebo UDP.
netstat -ntu | grep ESTAB | awk '{print $ 5}' | cut -d: -f1 | třídit | uniq -c | třídit -nr
Zkontrolujte připojení označená ESTABLISHED namísto všech připojení a zobrazte připojení pro každou IP.
netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1
Zobrazení a seznam IP adres a jejich počtu připojení, která se připojují k portu 80 na serveru. Port 80 se používá především HTTP pro webové požadavky.
Jak zmírnit útok DOS
Jakmile najdete adresu IP, na kterou server útočí, můžete pomocí následujících příkazů zablokovat jejich připojení k vašemu serveru:
iptables -A VSTUP 1 -s $ IPADRESS -j DROP / REJECT
Všimněte si, že musíte nahradit $ IPADRESS adresami IP, které byly nalezeny pomocí netstat.
Po spuštění výše uvedeného příkazu ZABIJTE všechna připojení httpd, abyste systém vyčistili a později jej restartovali pomocí následujících příkazů:
killall -KILL httpd
služba httpd start # pro systémy Red Hat / etc / init / d / apache2 restart # pro systémy Debian
zdroj: linuxaria
Mozilla je nucena přidávat DRM do videí ve Firefoxu
http://alt1040.com/2014/05/mozilla-drm-firefox
Vím, že to s příspěvkem nemá nic společného. Ale rád bych věděl, co si o tom myslíte. Dobrá věc je, že to může být zakázáno.
Člověče, pro debaty ano Fórum.
Vy, kdo jste iproute2, zkuste 'ss' ...
Souhlasím s Elavem, fórum je pro něco ... Nebudu mazat komentář, ale prosím, musíte využít mezery poskytnuté pro každou věc.
Místo grep, egrep
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | třídit | uniq -c | třídit -n
podle
netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | třídit | uniq -c | třídit -n
Bude to pro projekt, který se chystám nastavit, kde je mnoho možností být DDoS cíli
Moc děkuji za informace, v poslední době je na toto téma silná konkurence.