NetStat: Tipps zum Erkennen von DDoS-Angriffen

Alejandro (a.k.a KZKG^Gaara)

3 Minuten

Ich habe einen sehr interessanten Artikel in gefunden Linuxaria Informationen zum Erkennen, ob unser Server angegriffen wird DDoS (Verteilter Denial-of-Service)Oder was dasselbe ist, Denial-of-Services-Angriff.

NetStat zur Verhinderung von DDoS-Angriffen

Diese Art von Angriff ist weit verbreitet und kann der Grund dafür sein, dass unsere Server etwas langsam sind (obwohl dies auch ein Layer 8-Problem sein kann) und es niemals schadet, vorgewarnt zu werden. Dazu können Sie das Tool verwenden netstatHiermit können wir Netzwerkverbindungen, Routentabellen, Schnittstellenstatistiken und andere Dinge anzeigen.

NetStat-Beispiele

netstat -na

Dieser Bildschirm enthält alle aktiven Internetverbindungen auf dem Server und nur hergestellte Verbindungen.

netstat -an | grep: 80 | Sortieren

Zeigen Sie nur aktive Internetverbindungen zum Server an Port 80 an, der der http-Port ist, und sortieren Sie die Ergebnisse. Nützlich beim Erkennen einer einzelnen Flut (Flut), so dass viele Verbindungen von einer IP-Adresse erkannt werden können.

netstat -n -p | grep SYN_REC | wc -l

Dieser Befehl ist hilfreich, um zu wissen, wie viele aktive SYNC_RECs auf dem Server auftreten. Die Anzahl sollte ziemlich niedrig sein, vorzugsweise weniger als 5. Bei Denial-of-Service-Angriffen oder Postbomben kann die Anzahl recht hoch sein. Der Wert ist jedoch immer systemabhängig, sodass ein hoher Wert auf einem anderen Server normal sein kann.

netstat -n -p | grep SYN_REC | sortieren -u

Erstellen Sie eine Liste aller IP-Adressen der Beteiligten.

netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{print $ 1}'

Listen Sie alle eindeutigen IP-Adressen des Knotens auf, der den Verbindungsstatus SYN_REC sendet.

netstat -ntu | awk '{print $ 5}' | cut -d: -f1 | sortieren | uniq -c | sort -n

Verwenden Sie den Befehl netstat, um die Anzahl der Verbindungen von jeder IP-Adresse, die Sie zum Server herstellen, zu berechnen und zu zählen.

netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | sortieren | uniq -c | sort -n

Anzahl der IP-Adressen, die über das TCP- oder UDP-Protokoll eine Verbindung zum Server herstellen.

netstat -ntu | grep ESTAB | awk '{print $ 5}' | cut -d: -f1 | sortieren | uniq -c | sort -nr

Überprüfen Sie die mit ESTABLISHED gekennzeichneten Verbindungen anstelle aller Verbindungen und zeigen Sie die Verbindungen für jede IP an.

netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1

Zeigt eine Liste der IP-Adressen und deren Anzahl der Verbindungen an, die eine Verbindung zu Port 80 auf dem Server herstellen. Port 80 wird hauptsächlich von HTTP für Webanforderungen verwendet.

So mildern Sie einen DOS-Angriff

Sobald Sie die IP gefunden haben, die der Server angreift, können Sie die folgenden Befehle verwenden, um die Verbindung zu Ihrem Server zu blockieren:

iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT

Beachten Sie, dass Sie $ IPADRESS durch die IP-Adressen ersetzen müssen, die mit netstat gefunden wurden.

TÖTEN Sie nach dem Auslösen des obigen Befehls alle httpd-Verbindungen, um Ihr System zu bereinigen und später mit den folgenden Befehlen neu zu starten:

killall -KILL httpd
service httpd start # Für Red Hat-Systeme / etc / init / d / apache2 restart # Für Debian-Systeme

Quelle: Linuxaria


Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: Miguel Ángel Gatón
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.

  1.   James_Che sagte
    vor 10-jährige

    Mozilla ist gezwungen, DRM zu Videos in Firefox hinzuzufügen
    http://alt1040.com/2014/05/mozilla-drm-firefox
    Ich weiß, dass es nichts mit der Post zu tun hat. Aber ich würde gerne wissen, was Sie darüber denken. Das Gute ist, dass es deaktiviert werden kann.

    Antworte auf James_Che
    1.    lebhaft sagte
      vor 10-jährige

      Mann, für Debatten ist Forum.

      Antworte auf elav
      1.    MSX sagte
        vor 10-jährige

        Sie, die ein iproute2 Mann sind, versuchen Sie 'ss' ...

        Antworte auf msx
    2.    nano sagte
      vor 10-jährige

      Ich stimme Elav zu, das Forum ist für etwas ... Ich werde den Kommentar nicht löschen, aber bitte müssen Sie die für jede Sache bereitgestellten Leerzeichen nutzen.

      Antworte auf nano
  2.   Grafische Linie sagte
    vor 10-jährige

    Anstelle von grep, egrep
    netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | sortieren | uniq -c | sort -n

    von

    netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | sortieren | uniq -c | sort -n

    Antwort an LineaGrafica
  3.   Juansrc sagte
    vor 10-jährige

    Dies wird für ein Projekt sein, das ich einrichten werde, wo es viele Möglichkeiten gibt, DDoS-Ziele zu sein

    Antwort an JuanSRC
  4.   Raiola regiert und nicht der Panda sagte
    vor 7-jährige

    Vielen Dank für die Information, in letzter Zeit ist die Konkurrenz stark auf diesem Thema.

    Auf Raiola zu antworten ist der Boss und nicht der Panda