NetStat: consellos para detectar ataques DDoS

Atopei un artigo moi interesante en Linuxaria sobre como detectar se o noso servidor está baixo ataque DDoS (Denegación de servizo distribuída), Ou o que é o mesmo, Ataque de denegación de servizos.

NetStat para evitar ataques DDoS

Este tipo de ataque é bastante común e pode ser a razón pola que os nosos servidores son algo lentos (aínda que tamén pode ser un problema de capa 8) e nunca está de máis ser avisado. Para iso, pode usar a ferramenta netstat, que nos permite ver conexións de rede, táboas de rutas, estatísticas de interface e outras series de cousas.

Exemplos de NetStat

netstat -na

Esta pantalla incluirá todas as conexións de Internet activas no servidor e só as conexións establecidas.

netstat -an | grep: 80 | ordenar

Mostrar só conexións de Internet activas ao servidor no porto 80, que é o porto http, e ordenar os resultados. Útil para detectar unha única inundación (inundación) polo que permite recoñecer moitas conexións desde unha dirección IP.

netstat -n -p | grep SYN_REC | wc -l

Este comando é útil para saber cantos SYNC_REC activos están a ocorrer no servidor. O número debería ser bastante baixo, preferiblemente inferior a 5. En incidentes de ataques por denegación de servizo ou bombas por correo, o número pode ser bastante alto. Non obstante, o valor sempre depende do sistema, polo que un valor alto pode ser normal noutro servidor.

netstat -n -p | grep SYN_REC | ordenar -u

Fai unha lista de todos os enderezos IP dos implicados.

netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{print $ 1}'

Enumere todos os enderezos IP únicos do nodo que envían o estado de conexión SYN_REC.

netstat -ntu | awk '{print $ 5}' | cortar -d: -f1 | ordenar | uniq -c | ordenar -n

Use o comando netstat para calcular e contar o número de conexións de cada enderezo IP que realiza co servidor.

netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cortar -d: -f1 | ordenar | uniq -c | ordenar -n

Número de enderezos IP que se conectan ao servidor mediante o protocolo TCP ou UDP.

netstat -ntu | grep ESTAB | awk '{print $ 5}' | cortar -d: -f1 | ordenar | uniq -c | ordenar -nr

Comprobe as conexións marcadas ESTABLISHED en lugar de todas as conexións e amose as conexións para cada IP.

netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1

Mostrar e lista de enderezos IP e o seu número de conexións que se conectan ao porto 80 do servidor. O porto 80 úsao principalmente HTTP para solicitudes web.

Como mitigar un ataque DOS

Despois de atopar a IP que o servidor está atacando, pode usar os seguintes comandos para bloquear a súa conexión co seu servidor:

iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT

Teña en conta que ten que substituír $ IPADRESS polos enderezos IP que se atoparon con netstat.

Despois de executar o comando anterior, MATA todas as conexións httpd para limpar o sistema e reinicialo máis tarde usando os seguintes comandos:

matar -KILL httpd
servizo httpd start # Para sistemas Red Hat / etc / init / d / apache2 restart # Para sistemas Debian

Fuente: Linuxaria


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

7 comentarios, deixa os teus

Deixa o teu comentario

Enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados con *

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.

  1.   James_Che dixo

    Mozilla vese obrigado a engadir DRM a vídeos en Firefox
    http://alt1040.com/2014/05/mozilla-drm-firefox
    Sei que non ten nada que ver coa publicación. Pero gustaríame saber que opinas sobre isto. O bo é que se pode desactivar.

    1.    elav dixo

      Home, para os debates é foro.

      1.    msx dixo

        Ti que es un home de iproute2, proba 'ss' ...

    2.    nano dixo

      Estou de acordo con Elav, o foro é para algo ... Non vou eliminar o comentario pero, por favor, faga uso dos espazos previstos para cada cousa.

  2.   Liña gráfica dixo

    En vez de grep, egrep
    netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cortar -d: -f1 | ordenar | uniq -c | ordenar -n

    por

    netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | cortar -d: -f1 | ordenar | uniq -c | ordenar -n

  3.   JuanSRC dixo

    Isto vai ser para un proxecto que vou configurar onde hai moitas posibilidades de ser obxectivos DDoS

  4.   Raiola goberna e non o panda dixo

    Moitas grazas pola información, ultimamente a competencia é forte no tema.