NetStat: Συμβουλές για τον εντοπισμό επιθέσεων DDoS

Βρήκα ένα πολύ ενδιαφέρον άρθρο στο linuxaria σχετικά με τον τρόπο ανίχνευσης εάν ο διακομιστής μας δέχεται επίθεση DDoS (Κατανεμημένη άρνηση υπηρεσίας), ή ό, τι είναι το ίδιο, Επίθεση άρνησης παροχής υπηρεσιών.

Αυτός ο τύπος επίθεσης είναι πολύ συνηθισμένος και μπορεί να είναι ο λόγος για τον οποίο οι διακομιστές μας είναι κάπως αργοί (αν και μπορεί επίσης να είναι πρόβλημα Layer 8) και ποτέ δεν πονάει να προειδοποιήσουμε. Για να το κάνετε αυτό, μπορείτε να χρησιμοποιήσετε το εργαλείο netstat, που μας επιτρέπει να βλέπουμε συνδέσεις δικτύου, πίνακες διαδρομών, στατιστικά στοιχεία διασύνδεσης και άλλες σειρές πραγμάτων.

Παραδείγματα NetStat

netstat -να

Αυτή η οθόνη θα περιλαμβάνει όλες τις ενεργές συνδέσεις Διαδικτύου στο διακομιστή και μόνο τις καθιερωμένες συνδέσεις.

netstat -an | grep: 80 | είδος

Εμφάνιση μόνο ενεργών συνδέσεων Διαδικτύου στον διακομιστή στη θύρα 80, που είναι η θύρα http, και ταξινομήστε τα αποτελέσματα. Χρήσιμο στην ανίχνευση μιας πλημμύρας (πλημμύρα) έτσι επιτρέπει την αναγνώριση πολλών συνδέσεων από μια διεύθυνση IP.

netstat -n -p | grep SYN_REC | wc -l

Αυτή η εντολή είναι χρήσιμη για να μάθετε πόσα ενεργά SYNC_RECs εμφανίζονται στον διακομιστή. Ο αριθμός πρέπει να είναι αρκετά χαμηλός, κατά προτίμηση μικρότερος από 5. Σε περιστατικά επιθέσεων άρνησης υπηρεσίας ή βομβιστικών επιθέσεων, ο αριθμός μπορεί να είναι αρκετά υψηλός. Ωστόσο, η τιμή εξαρτάται πάντα από το σύστημα, επομένως μια υψηλή τιμή μπορεί να είναι φυσιολογική σε άλλο διακομιστή.

netstat -n -p | grep SYN_REC | είδος -u

Δημιουργήστε μια λίστα με όλες τις διευθύνσεις IP των εμπλεκομένων.

netstat -n -p | grep SYN_REC | awk "{print $ 5}" | awk -F: "{print $ 1}"

Αναφέρετε όλες τις μοναδικές διευθύνσεις IP του κόμβου που στέλνουν την κατάσταση σύνδεσης SYN_REC.

netstat -ntu | awk "{print $ 5}" | cut -d: -f1 | είδος | uniq -c | είδος-ν

Χρησιμοποιήστε την εντολή netstat για να υπολογίσετε και να μετρήσετε τον αριθμό των συνδέσεων από κάθε διεύθυνση IP που κάνετε στον διακομιστή.

netstat -anp | grep 'tcp | udp' | awk "{print $ 5}" | cut -d: -f1 | είδος | uniq -c | είδος-ν

Αριθμός διευθύνσεων IP που συνδέονται με το διακομιστή χρησιμοποιώντας το πρωτόκολλο TCP ή UDP.

netstat -ntu | grep ESTAB | awk "{print $ 5}" | cut -d: -f1 | είδος | uniq -c | ταξινόμηση -nr

Ελέγξτε τις συνδέσεις με την ένδειξη ESTABLISHED αντί για όλες τις συνδέσεις και δείξτε τις συνδέσεις για κάθε IP.

netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1

Εμφανίζει και λίστα διευθύνσεων IP και τον αριθμό των συνδέσεών τους που συνδέονται στη θύρα 80 του διακομιστή. Η θύρα 80 χρησιμοποιείται κυρίως από HTTP για αιτήματα Web.

Πώς να μετριάσετε μια επίθεση DOS

Μόλις εντοπίσετε την IP που επιτίθεται στον διακομιστή, μπορείτε να χρησιμοποιήσετε τις ακόλουθες εντολές για να αποκλείσετε τη σύνδεσή τους με τον διακομιστή σας:

iptables - ΕΙΣΟΔΟΣ 1 -s $ IPADRESS -j DROP / REJECT

Σημειώστε ότι πρέπει να αντικαταστήσετε το $ IPADRESS με τις διευθύνσεις IP που έχουν βρεθεί με το netstat.

Αφού ενεργοποιήσετε την παραπάνω εντολή, ΣΚΟΠΟΤΕ όλες τις συνδέσεις httpd για να καθαρίσετε το σύστημά σας και να επανεκκινήσετε αργότερα χρησιμοποιώντας τις ακόλουθες εντολές:

killall -ΚΑΛΕΙΤΕ httpd

service httpd start # Για συστήματα Red Hat / etc / init / d / apache2 επανεκκίνηση # Για συστήματα Debian

πηγή: linuxaria