NetStat: Vinkkejä DDoS-hyökkäysten havaitsemiseen

Olen löytänyt erittäin mielenkiintoisen artikkelin Linuxaria kuinka havaita palvelimemme hyökkäys DDoS (Hajautettu palvelunestäminen)Tai mikä on sama, Palvelunestohyökkäys.

NetStat estää DDoS-hyökkäykset

Tämäntyyppiset hyökkäykset ovat melko yleisiä ja saattavat olla syy siihen, miksi palvelimemme ovat jonkin verran hitaita (vaikka se voi olla myös Layer 8 -ongelma), eikä siitä koskaan satuta varoittaa. Voit tehdä tämän käyttämällä työkalua netstat, jonka avulla voimme nähdä verkkoyhteydet, reittitaulukot, rajapintatilastot ja muut asiat.

NetStat-esimerkkejä

netstat -na

Tämä näyttö sisältää kaikki palvelimen aktiiviset Internet-yhteydet ja vain muodostetut yhteydet.

netstat -an | grep: 80 | järjestellä

Näytä vain aktiiviset Internet-yhteydet palvelimelle portissa 80, joka on http-portti, ja lajittele tulokset. Hyödyllinen yksittäisen tulvan havaitsemisessa (tulva), joten se mahdollistaa monien yhteyksien tunnistamisen IP-osoitteesta.

netstat -n -p | grep SYN_REC | wc -l

Tämä komento on hyödyllinen tietää, kuinka monta aktiivista SYNC_REC-tiedostoa esiintyy palvelimella. Luvun tulisi olla melko pieni, mieluiten alle 5. Palvelunestohyökkäysten tai postipommien tapauksessa luku voi olla melko suuri. Arvo on kuitenkin aina järjestelmästä riippuvainen, joten korkea arvo voi olla normaalia toisella palvelimella.

netstat -n -p | grep SYN_REC | lajitella -u

Tee luettelo kaikista osallistujien IP-osoitteista.

netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{print $ 1}'

Luettele kaikki solmun yksilölliset IP-osoitteet, jotka lähettävät SYN_REC-yhteyden tilaa.

netstat -ntu | awk '{print $ 5}' | leikkaus -d: -f1 | lajitella | uniq -c | lajittelu -n

Käytä netstat-komentoa laskeaksesi ja laskeaksesi yhteyksien määrän kustakin palvelimelle tekemästäsi IP-osoitteesta.

netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | leikkaus -d: -f1 | lajitella | uniq -c | lajittelu -n

IP-osoitteiden määrä, jotka muodostavat yhteyden palvelimeen TCP- tai UDP-protokollan avulla.

netstat -ntu | grep ESTAB | awk '{print $ 5}' | leikkaus -d: -f1 | lajitella | uniq -c | lajittelu -nr

Tarkista kaikkien yhteyksien sijasta ESTABLISHED-merkinnällä varustetut yhteydet ja näytä yhteydet jokaiselle IP: lle.

netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | lajittele | uniq -c | lajittele -nk 1

Näytä ja luettelo IP-osoitteista ja niiden yhteyksien määrä, jotka muodostavat yhteyden palvelimen porttiin 80. Porttia 80 käyttää ensisijaisesti HTTP verkkopyyntöihin.

Kuinka lievittää DOS-hyökkäystä

Kun olet löytänyt IP-osoitteen, jota palvelin hyökkää, voit estää seuraavien komentojen avulla yhteyden palvelimeen:

iptables -A SYÖTTÖ ​​1 -s $ IPADRESS -j DROP / REJECT

Huomaa, että sinun on korvattava $ IPADRESS IPst-osoitteilla, jotka löytyivät netstatista.

Kun olet käynnistänyt yllä olevan komennon, TAPAA kaikki httpd-yhteydet puhdistaaksesi järjestelmän ja käynnistä se uudelleen myöhemmin seuraavilla komennoilla:

killall -TAPA httpd
palvelu httpd start # Red Hat -järjestelmissä / etc / init / d / apache2 uudelleenkäynnistä # Debian-järjestelmissä

lähde: Linuxaria


Artikkelin sisältö noudattaa periaatteita toimituksellinen etiikka. Ilmoita virheestä napsauttamalla täällä.

7 kommenttia, jätä omasi

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastuussa tiedoista: Miguel Ángel Gatón
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   James_Che dijo

    Mozilla joutuu lisäämään DRM: n Firefoxin videoihin
    http://alt1040.com/2014/05/mozilla-drm-firefox
    Tiedän, että sillä ei ole mitään tekemistä viestin kanssa. Mutta haluaisin tietää, mitä mieltä olet tästä. Hyvä asia on, että se voidaan poistaa käytöstä.

    1.    elav dijo

      Mies, sillä keskustelut ovat foorumi.

      1.    MSX dijo

        Sinä, joka olet iproute2-mies, kokeile 'ss' ...

    2.    nano dijo

      Olen samaa mieltä Elavin kanssa, foorumi on jostakin ... En poista kommenttia, mutta sinun on käytettävä kullekin kohteelle annettuja tiloja.

  2.   Graafinen viiva dijo

    Grepin sijasta egrep
    netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | leikkaus -d: -f1 | lajitella | uniq -c | lajittelu -n

    mukaan

    netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | leikkaus -d: -f1 | lajitella | uniq -c | lajittelu -n

  3.   JuanSRC dijo

    Tämä tulee olemaan projekti, jonka aion perustaa ja jossa on monia mahdollisuuksia olla DDoS-kohteita

  4.   Raiola hallitsee eikä panda dijo

    Paljon kiitoksia tiedoista, viime aikoina kilpailu on kovaa aiheesta.