NetStat: conseils pour détecter les attaques DDoS

J'ai trouvé un article très intéressant dans linuxaria sur la façon de détecter si notre serveur est attaqué DDoS (Déni de service distribué)Ou quel est le même, Attaque par déni de service.

Ce type d'attaque est assez courant et peut être la raison pour laquelle nos serveurs sont quelque peu lents (bien que cela puisse aussi être un problème de couche 8) et il n'est jamais mauvais d'être prévenu. Pour ce faire, vous pouvez utiliser l'outil netstat, qui nous permet de voir les connexions réseau, les tables de routage, les statistiques d'interface et d'autres séries de choses.

Exemples NetStat

netstat -na

Cet écran comprendra toutes les connexions Internet actives sur le serveur et uniquement les connexions établies.

netstat -an | grep: 80 | Trier

Afficher uniquement les connexions Internet actives au serveur sur le port 80, qui est le port http, et trier les résultats. Utile pour détecter une seule inondation (inondation) afin de pouvoir reconnaître de nombreuses connexions à partir d'une adresse IP.

netstat -n -p | grep SYN_REC | wc -l

Cette commande est utile pour savoir combien de SYNC_REC actifs se produisent sur le serveur. Le nombre doit être assez faible, de préférence inférieur à 5. Dans les incidents d'attaques par déni de service ou de mail bombes, le nombre peut être assez élevé. Cependant, la valeur dépend toujours du système, donc une valeur élevée peut être normale sur un autre serveur.

netstat -n -p | grep SYN_REC | trier -u

Faites une liste de toutes les adresses IP des personnes impliquées.

netstat -n -p | grep SYN_REC | awk '{imprimer $ 5}' | awk -F: '{imprimer $ 1}'

Répertoriez toutes les adresses IP uniques du nœud qui envoient l'état de connexion SYN_REC.

netstat -ntu | awk '{imprimer $ 5}' | couper -d: -f1 | trier | uniq -c | trier -n

Utilisez la commande netstat pour calculer et compter le nombre de connexions de chaque adresse IP que vous établissez avec le serveur.

netstat -anp | grep 'tcp | udp' | awk '{imprimer $ 5}' | couper -d: -f1 | trier | uniq -c | trier -n

Nombre d'adresses IP qui se connectent au serveur à l'aide du protocole TCP ou UDP.

netstat -ntu | grep ESTAB | awk '{imprimer $ 5}' | couper -d: -f1 | trier | uniq -c | trier -nr

Vérifiez les connexions marquées ESTABLISHED au lieu de toutes les connexions et affichez les connexions pour chaque IP.

netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1

Affichage et liste des adresses IP et de leur nombre de connexions qui se connectent au port 80 sur le serveur. Le port 80 est principalement utilisé par HTTP pour les requêtes Web.

Comment atténuer une attaque DOS

Une fois que vous avez trouvé l'adresse IP que le serveur attaque, vous pouvez utiliser les commandes suivantes pour bloquer leur connexion à votre serveur:

iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT

Notez que vous devez remplacer $ IPADRESS par les adresses IP qui ont été trouvées avec netstat.

Après avoir lancé la commande ci-dessus, TUEZ toutes les connexions httpd pour nettoyer votre système et redémarrez-le plus tard à l'aide des commandes suivantes:

killall -TUER httpd

service httpd start # Pour les systèmes Red Hat / etc / init / d / apache2 restart # Pour les systèmes Debian

source: linuxaria