NetStat: Konsiloj por detekti DDoS-atakojn

Mi trovis tre interesan artikolon en Linukso pri kiel detekti ĉu nia Servilo estas atakata DDoS (Distribuita Neado de Servo), Aŭ kio estas la sama, Neado de Serva Atako.

NetStat por malhelpi DDoS-atakojn

Ĉi tiu speco de atako estas sufiĉe ofta kaj eble estas la kialo, kial niaj serviloj iom malrapidas (kvankam ĝi ankaŭ povas esti problemo de Tavolo 8) kaj neniam doloras esti avertita. Por fari tion, vi povas uzi la ilon netstat, kiu permesas al ni vidi retajn konektojn, itinerajn tabelojn, interfacajn statistikojn kaj aliajn seriojn.

NetStat-Ekzemploj

netstat -na

Ĉi tiu ekrano inkluzivos ĉiujn aktivajn interretajn konektojn en la servilo kaj nur establitajn konektojn.

netstat -an | grep: 80 | ordigi

Montru nur aktivajn interretajn konektojn al la servilo ĉe la haveno 80, kiu estas la http-haveno, kaj ordigu la rezultojn. Utila por detekti unu inundon (inundo) do ĝi permesas rekoni multajn konektojn de IP-adreso.

netstat -n -p | grep SYN_REC | wc -l

Ĉi tiu komando utilas por scii kiom da aktivaj SYNC_REC-oj okazas sur la servilo. La nombro devas esti sufiĉe malalta, prefere malpli ol 5. En okazaĵoj pri rifuzo de servaj atakoj aŭ poŝtaj bomboj, la nombro povas esti sufiĉe alta. Tamen la valoro ĉiam dependas de la sistemo, do alta valoro povas esti normala ĉe alia servilo.

netstat -n -p | grep SYN_REC | ordigi -u

Faru liston de ĉiuj IP-adresoj de la koncernatoj.

netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{print $ 1}'

Enlistigu ĉiujn unikajn IP-adresojn de la nodo, kiuj sendas la staton de konekto SYN_REC.

netstat -ntu | awk '{print $ 5}' | tranĉi -d: -f1 | ordigi | uniq -c | ordigi -n

Uzu la komandon netstat por kalkuli kaj kalkuli la nombron de konektoj de ĉiu IP-adreso, kiun vi faras al la servilo.

netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | tranĉi -d: -f1 | ordigi | uniq -c | ordigi -n

Nombro de IP-adresoj, kiuj konektas al la servilo per la protokolo TCP aŭ UDP.

netstat -ntu | grep ESTAB | awk '{print $ 5}' | tranĉi -d: -f1 | ordigi | uniq -c | sort -nr

Kontrolu la ligojn markitajn STABILITA anstataŭ ĉiuj ligoj, kaj montru la ligojn por ĉiu IP.

netstat -plan | grep: 80 | awk {'print $ 5'} | tranĉi -d: -f 1 | ordigi | uniq -c | ordigi -nk 1

Montroj kaj listo de IP-adresoj kaj ilia nombro de konektoj, kiuj konektas al la haveno 80 en la servilo. Haveno 80 estas uzata ĉefe de HTTP por retaj petoj.

Kiel mildigi DOS-atakon

Post kiam vi trovis la IP, kiun la servilo atakas, vi povas uzi la jenajn komandojn por bloki ilian konekton al via servilo:

iptables -A ENPUT 1 -s $ IPADRESS -j DROP / REJECT

Notu, ke vi devas anstataŭigi $ IPADRESS per la IP-adresoj, kiuj estis trovitaj per netstat.

Post lanĉado de la supra komando, Mortigu ĉiujn httpd-ligojn por purigi vian sistemon kaj rekomenci ĝin poste per la jenaj komandoj:

killall -KILL httpd
servo httpd start # Por Red Hat-sistemoj / etc / init / d / apache2 restart # Por Debian-sistemoj

Fonto: Linukso


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

7 komentoj, lasu la viajn

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita per *

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

  1.   James_Che diris

    Mozilla estas devigita aldoni DRM al filmetoj en Fajrovulpo
    http://alt1040.com/2014/05/mozilla-drm-firefox
    Mi scias, ke ĝi neniel rilatas al la afiŝo. Sed mi ŝatus scii, kion vi pensas pri ĉi tio. La bona afero estas, ke ĝi povas esti malebligita.

    1.    elav diris

      Viro, ĉar debatoj estas forumo.

      1.    MSX diris

        Vi, kiu estas iproute2-viro, provu 'ss' ...

    2.    nano diris

      Mi konsentas kun Elav, la forumo estas por io ... Mi ne forigos la komenton sed, mi petas, vi devas uzi la spacojn disponigitajn por ĉiu afero.

  2.   Grafika linio diris

    Anstataŭ grep, egrep
    netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | tranĉi -d: -f1 | ordigi | uniq -c | ordigi -n

    bonvolu

    netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | tranĉi -d: -f1 | ordigi | uniq -c | ordigi -n

  3.   JuanSRC diris

    Ĉi tio estos por projekto, kiun mi starigos, kie ekzistas multaj ebloj esti DDoS-celoj

  4.   Raiola regas kaj ne la pando diris

    Koran dankon pro la informo, lastatempe la konkurenco multe pezas pri la temo.