Jeg har fundet en meget interessant artikel i linuxaria om, hvordan vi finder ud af, om vores server er under angreb DDoS (Distribueret lammelsesangreb), Eller hvad er det samme, Nægtelse af tjenester angreb.
Denne type angreb er ret almindelig og kan være grunden til, at vores servere er noget langsomme (selvom det også kan være et lag 8-problem), og det gør aldrig ondt at blive advaret. For at gøre dette kan du bruge værktøjet netstat, som giver os mulighed for at se netværksforbindelser, rutetabeller, interface statistikker og andre serier af ting.
NetStat eksempler
netstat -na
Dette skærmbillede inkluderer alle aktive internetforbindelser på serveren og kun etablerede forbindelser.
netstat -an | grep: 80 | sortere
Vis kun aktive internetforbindelser til serveren på port 80, som er http-porten, og sorter resultaterne. Nyttig til at opdage en enkelt oversvømmelse (oversvømmelse) så det gør det muligt at genkende mange forbindelser, der kommer fra en IP-adresse.
netstat -n -p | grep SYN_REC | wc -l
Denne kommando er nyttig for at vide, hvor mange aktive SYNC_REC'er der findes på serveren. Antallet skal være ret lavt, helst mindre end 5. I hændelser af tjenestenektangreb eller postbomber kan antallet være ret højt. Værdien er dog altid systemafhængig, så en høj værdi kan være normal på en anden server.
netstat -n -p | grep SYN_REC | sorter -u
Lav en liste over alle involverede IP-adresser.
netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{udskriv $ 1}'
Skriv en liste over alle de unikke IP-adresser på den node, der sender SYN_REC-forbindelsesstatus.
netstat -ntu | awk '{print $ 5}' | klippe -d: -f1 | sorter | uniq -c | sorter -n
Brug kommandoen netstat til at beregne og tælle antallet af forbindelser fra hver IP-adresse, du opretter til serveren.
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | klippe -d: -f1 | sorter | uniq -c | sorter -n
Antal IP-adresser, der opretter forbindelse til serveren ved hjælp af TCP- eller UDP-protokollen.
netstat -ntu | grep ESTAB | awk '{print $ 5}' | klippe -d: -f1 | sorter | uniq -c | sorter -nr
Kontroller forbindelser markeret ESTABLISHED i stedet for alle forbindelser, og vis forbindelser for hver IP.
netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1
Vis og liste over IP-adresser og deres antal forbindelser, der opretter forbindelse til port 80 på serveren. Port 80 bruges primært af HTTP til webanmodninger.
Sådan afbødes et DOS-angreb
Når du har fundet IP'en, som serveren angriber, kan du bruge følgende kommandoer til at blokere deres forbindelse til din server:
iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT
Bemærk, at du skal erstatte $ IPADRESS med de IP-adresser, der er fundet med netstat.
Efter at have affyret ovenstående kommando, DRÆB alle httpd-forbindelser for at rydde dit system og genstarte det senere ved hjælp af følgende kommandoer:
killall -DRÆB httpd
service httpd start # For Red Hat-systemer / etc / init / d / apache2 genstart # For Debian-systemer
kilde: linuxaria
7 kommentarer, lad dine
Mozilla er tvunget til at tilføje DRM til videoer i Firefox
http://alt1040.com/2014/05/mozilla-drm-firefox
Jeg ved, det har intet at gøre med stillingen. Men jeg vil gerne vide, hvad du synes om dette. Det gode er, at det kan deaktiveres.
Mand, for debatter er forum.
Du, der er en iproute2 mand, prøv 'ss' ...
Jeg er enig med Elav, forummet er til noget ... Jeg vil ikke slette kommentaren, men du skal bruge de pladser, der er angivet for hver ting.
I stedet for grep, egrep
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | klippe -d: -f1 | sorter | uniq -c | sorter -n
af
netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | klippe -d: -f1 | sorter | uniq -c | sorter -n
Dette vil være til et projekt, som jeg vil oprette, hvor der er mange muligheder for at være DDoS-mål
Mange tak for informationen, for nylig er konkurrencen tung om emnet.