Pronašao sam vrlo zanimljiv članak u linuxaria o tome kako otkriti je li naš poslužitelj napadnut DDoS (Distribuirano uskraćivanje usluge), Ili što je isto, Napad uskraćivanja usluga.
Ova vrsta napada prilično je česta i može biti razlog zašto su naši poslužitelji pomalo spori (iako to također može predstavljati problem sloja 8) i nikad ne škodi biti upozoreni. Da biste to učinili, možete koristiti alat netstat, koji nam omogućuje da vidimo mrežne veze, tablice ruta, statistiku sučelja i druge serije stvari.
NetStat Primjeri
netstat -na
Ovaj zaslon uključivat će sve aktivne internetske veze na poslužitelju i samo uspostavljene veze.
netstat -an | grep: 80 | vrsta
Prikažite samo aktivne internetske veze s poslužiteljem na priključku 80, koji je http priključak, i razvrstajte rezultate. Korisno u otkrivanju jedne poplave (poplava), tako da omogućuje prepoznavanje mnogih veza koje dolaze s IP adrese.
netstat -n -p | grep SYN_REC | wc -l
Ova je naredba korisna da bi se znalo koliko se aktivnih SYNC_REC-ova događa na poslužitelju. Broj bi trebao biti prilično nizak, po mogućnosti manji od 5. U slučajevima napada uskraćivanja usluge ili bombaških napada, taj broj može biti prilično velik. Međutim, vrijednost uvijek ovisi o sustavu, pa je visoka vrijednost možda normalna na drugom poslužitelju.
netstat -n -p | grep SYN_REC | razvrstati -u
Napravite popis svih IP adresa uključenih.
netstat -n -p | grep SYN_REC | awk '{ispis $ 5}' | awk -F: '{ispis $ 1}'
Navedite sve jedinstvene IP adrese čvora koji šalju status veze SYN_REC.
netstat -ntu | awk '{ispis $ 5}' | izrezati -d: -f1 | razvrstaj | uniq -c | razvrstati -n
Upotrijebite naredbu netstat za izračunavanje i brojanje broja veza sa svake IP adrese koju uspostavite s poslužiteljem.
netstat -anp | grep 'tcp | udp' | awk '{ispis $ 5}' | izrezati -d: -f1 | razvrstaj | uniq -c | razvrstati -n
Broj IP adresa koje se povezuju s poslužiteljem pomoću TCP ili UDP protokola.
netstat -ntu | grep ESTAB | awk '{ispis $ 5}' | izrezati -d: -f1 | razvrstaj | uniq -c | razvrstati -nr
Provjerite veze s oznakom ESTABLISHED umjesto svih veza i pokažite veze za svaku IP adresu.
netstat -plan | grep: 80 | awk {'ispiši $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1
Prikazuje i popis IP adresa i njihov broj veza koje se spajaju na priključak 80 na poslužitelju. Port 80 HTTP prvenstveno koristi za web zahtjeve.
Kako ublažiti DOS napad
Nakon što pronađete IP adresu koju poslužitelj napada, možete koristiti sljedeće naredbe da biste blokirali njihovu vezu s vašim poslužiteljem:
iptables -A ULAZ 1-s $ IPADRES -j PAD / ODBIJANJE
Imajte na umu da $ IPADRESS morate zamijeniti IP adresama koje su pronađene pomoću netstat-a.
Nakon pokretanja gornje naredbe, UBIJITE sve httpd veze kako biste očistili sustav i kasnije ga ponovo pokrenuli pomoću sljedećih naredbi:
killall -UBITI httpd
usluga httpd start # Za Red Hat sustave / etc / init / d / apache2 restart # Za Debian sustave
izvor: linuxaria
7 komentara, ostavi svoj
Mozilla je prisiljena dodati DRM videozapisima u Firefoxu
http://alt1040.com/2014/05/mozilla-drm-firefox
Znam da to nema nikakve veze s postom. Ali želio bih znati što mislite o ovome. Dobra stvar je što se može onemogućiti.
Čovječe, za rasprave je forum.
Vi koji ste čovjek iz iproute2, probajte 's' ...
Slažem se s Elavom, forum je za nešto ... Neću izbrisati komentar, ali, molim vas, morate iskoristiti mjesta predviđena za svaku stvar.
Umjesto grep, egrep
netstat -anp | grep 'tcp | udp' | awk '{ispis $ 5}' | izrezati -d: -f1 | razvrstaj | uniq -c | razvrstati -n
od
netstat -anp | egrep 'tcp | udp' | awk '{ispis $ 5}' | izrezati -d: -f1 | razvrstaj | uniq -c | razvrstati -n
Ovo će biti za projekt koji ću postaviti gdje postoji mnogo mogućnosti da postanem DDoS meta
Puno vam hvala na informacijama, u posljednje vrijeme konkurencija je velika na tu temu.