NetStat: Leideanna chun ionsaithe DDoS a bhrath

Tá alt an-spéisiúil aimsithe agam i linuxaria maidir le conas a bhrath an bhfuil ár bhFreastalaí faoi ionsaí DDoS (Diúltú Seirbhíse Dáilte), Nó cad é an rud céanna, Ionsaí ar Dhiúltú Seirbhísí.

Tá an cineál ionsaí seo coitianta go leor agus b’fhéidir gurb é sin an fáth go bhfuil ár bhfreastalaithe beagáinín mall (cé go bhféadfadh sé a bheith ina fhadhb Sraith 8 freisin) agus ní ghortaíonn sé riamh a bheith ag súil leis. Chun seo a dhéanamh, is féidir leat an uirlis a úsáid netstat, a ligeann dúinn naisc líonra, táblaí bealaigh, staitisticí comhéadain agus sraith rudaí eile a fheiceáil.

Samplaí NetStat

netstat -na

Cuimseoidh an scáileán seo gach nasc gníomhach Idirlín ar an bhfreastalaí agus naisc bhunaithe amháin.

netstat -an | grep: 80 | sórtáil

Ná taispeáin ach naisc ghníomhacha Idirlín leis an bhfreastalaí ar chalafort 80, arb é an calafort http é, agus sórtáil na torthaí. Úsáideach chun tuile aonair a bhrath (tuile) mar sin ceadaíonn sé go leor nasc a thagann ó sheoladh IP a aithint.

netstat -n -p | grep SYN_REC | wc -l

Tá an t-ordú seo úsáideach chun a fháil amach cé mhéad SYNC_REC gníomhach atá ag tarlú ar an bhfreastalaí. Ba chóir go mbeadh an líon íseal go leor, b'fhearr níos lú ná 5. I gcás ionsaithe ar shéanadh seirbhíse nó buamaí poist, is féidir leis an líon a bheith ard go leor. Mar sin féin, bíonn an luach ag brath ar an gcóras i gcónaí, mar sin d’fhéadfadh luach ard a bheith gnáth ar fhreastalaí eile.

netstat -n -p | grep SYN_REC | sórtáil -u

Déan liosta de sheoltaí IP uile na ndaoine atá i gceist.

netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{print $ 1}'

Liostaigh seoltaí IP uathúla uile an nód atá ag seoladh stádas ceangail SYN_REC.

netstat -ntu | awk '{print $ 5}' | gearrtha -d: -f1 | sórtáil | uniq -c | sórtáil -n

Úsáid an t-ordú netstat chun líon na nasc ó gach seoladh IP a dhéanann tú leis an bhfreastalaí a ríomh agus a chomhaireamh.

netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | gearrtha -d: -f1 | sórtáil | uniq -c | sórtáil -n

Líon na seoltaí IP a nascann leis an bhfreastalaí ag baint úsáide as an bprótacal TCP nó UDP.

netstat -ntu | grep ESTAB | awk '{print $ 5}' | gearrtha -d: -f1 | sórtáil | uniq -c | sórtáil -nr

Seiceáil na naisc marcáilte ESTABLISHED in ionad gach nasc, agus taispeáin na naisc do gach IP.

netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1

Taispeáin agus liosta na seoltaí IP agus a líon nasc a nascann le calafort 80 ar an bhfreastalaí. Is é HTTP a úsáideann Port 80 go príomha le haghaidh iarratas Gréasáin.

Conas ionsaí DOS a mhaolú

Nuair a fhaigheann tú an IP a bhfuil an freastalaí ag ionsaí air is féidir leat na horduithe seo a leanas a úsáid chun a nasc le do fhreastalaí a bhac:

iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT

Tabhair faoi deara go gcaithfidh tú $ IPADRESS a chur in ionad na seoltaí IP a fuarthas le netstat.

Tar éis duit an t-ordú thuas a lasadh, Maraigh gach nasc httpd chun do chóras a ghlanadh agus a atosú níos déanaí ag baint úsáide as na horduithe seo a leanas:

killall -KILL httpd

tús httpd seirbhíse # Do chórais Red Hat / etc / init / d / apache2 atosú # Do chórais Debian

Fuente: linuxaria