Olen löytänyt erittäin mielenkiintoisen artikkelin linuxaria kuinka havaita palvelimemme hyökkäys DDoS (Hajautettu palvelunestäminen)Tai mikä on sama, Palvelunestohyökkäys.
Tämäntyyppiset hyökkäykset ovat melko yleisiä ja saattavat olla syy siihen, miksi palvelimemme ovat jonkin verran hitaita (vaikka se voi olla myös Layer 8 -ongelma), eikä siitä koskaan satuta varoittaa. Voit tehdä tämän käyttämällä työkalua netstat, jonka avulla voimme nähdä verkkoyhteydet, reittitaulukot, rajapintatilastot ja muut asiat.
NetStat-esimerkkejä
netstat -na
Tämä näyttö sisältää kaikki palvelimen aktiiviset Internet-yhteydet ja vain muodostetut yhteydet.
netstat -an | grep: 80 | järjestellä
Näytä vain aktiiviset Internet-yhteydet palvelimelle portissa 80, joka on http-portti, ja lajittele tulokset. Hyödyllinen yksittäisen tulvan havaitsemisessa (tulva), joten se mahdollistaa monien yhteyksien tunnistamisen IP-osoitteesta.
netstat -n -p | grep SYN_REC | wc -l
Tämä komento on hyödyllinen tietää, kuinka monta aktiivista SYNC_REC-tiedostoa esiintyy palvelimella. Luvun tulisi olla melko pieni, mieluiten alle 5. Palvelunestohyökkäysten tai postipommien tapauksessa luku voi olla melko suuri. Arvo on kuitenkin aina järjestelmästä riippuvainen, joten korkea arvo voi olla normaalia toisella palvelimella.
netstat -n -p | grep SYN_REC | lajitella -u
Tee luettelo kaikista osallistujien IP-osoitteista.
netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{print $ 1}'
Luettele kaikki solmun yksilölliset IP-osoitteet, jotka lähettävät SYN_REC-yhteyden tilaa.
netstat -ntu | awk '{print $ 5}' | leikkaus -d: -f1 | lajitella | uniq -c | lajittelu -n
Käytä netstat-komentoa laskeaksesi ja laskeaksesi yhteyksien määrän kustakin palvelimelle tekemästäsi IP-osoitteesta.
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | leikkaus -d: -f1 | lajitella | uniq -c | lajittelu -n
IP-osoitteiden määrä, jotka muodostavat yhteyden palvelimeen TCP- tai UDP-protokollan avulla.
netstat -ntu | grep ESTAB | awk '{print $ 5}' | leikkaus -d: -f1 | lajitella | uniq -c | lajittelu -nr
Tarkista kaikkien yhteyksien sijasta ESTABLISHED-merkinnällä varustetut yhteydet ja näytä yhteydet jokaiselle IP: lle.
netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | lajittele | uniq -c | lajittele -nk 1
Näytä ja luettelo IP-osoitteista ja niiden yhteyksien määrä, jotka muodostavat yhteyden palvelimen porttiin 80. Porttia 80 käyttää ensisijaisesti HTTP verkkopyyntöihin.
Kuinka lievittää DOS-hyökkäystä
Kun olet löytänyt IP-osoitteen, jota palvelin hyökkää, voit estää seuraavien komentojen avulla yhteyden palvelimeen:
iptables -A SYÖTTÖ 1 -s $ IPADRESS -j DROP / REJECT
Huomaa, että sinun on korvattava $ IPADRESS IPst-osoitteilla, jotka löytyivät netstatista.
Kun olet käynnistänyt yllä olevan komennon, TAPAA kaikki httpd-yhteydet puhdistaaksesi järjestelmän ja käynnistä se uudelleen myöhemmin seuraavilla komennoilla:
killall -TAPA httpd
palvelu httpd start # Red Hat -järjestelmissä / etc / init / d / apache2 uudelleenkäynnistä # Debian-järjestelmissä
lähde: linuxaria
Mozilla joutuu lisäämään DRM: n Firefoxin videoihin
http://alt1040.com/2014/05/mozilla-drm-firefox
Tiedän, että sillä ei ole mitään tekemistä viestin kanssa. Mutta haluaisin tietää, mitä mieltä olet tästä. Hyvä asia on, että se voidaan poistaa käytöstä.
Mies, sillä keskustelut ovat foorumi.
Sinä, joka olet iproute2-mies, kokeile 'ss' ...
Olen samaa mieltä Elavin kanssa, foorumi on jostakin ... En poista kommenttia, mutta sinun on käytettävä kullekin kohteelle annettuja tiloja.
Grepin sijasta egrep
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | leikkaus -d: -f1 | lajitella | uniq -c | lajittelu -n
mukaan
netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | leikkaus -d: -f1 | lajitella | uniq -c | lajittelu -n
Tämä tulee olemaan projekti, jonka aion perustaa ja jossa on monia mahdollisuuksia olla DDoS-kohteita
Paljon kiitoksia tiedoista, viime aikoina kilpailu on kovaa aiheesta.