NetStat: Savjeti za otkrivanje DDoS napada

Pronašao sam vrlo zanimljiv članak u Linuxaria o tome kako otkriti je li naš poslužitelj napadnut DDoS (Distribuirano uskraćivanje usluge), Ili što je isto, Napad uskraćivanja usluga.

NetStat za sprečavanje DDoS napada

Ova vrsta napada prilično je česta i može biti razlog zašto su naši poslužitelji pomalo spori (iako to također može predstavljati problem sloja 8) i nikad ne škodi biti upozoreni. Da biste to učinili, možete koristiti alat netstat, koji nam omogućuje da vidimo mrežne veze, tablice ruta, statistiku sučelja i druge serije stvari.

NetStat Primjeri

netstat -na

Ovaj zaslon uključivat će sve aktivne internetske veze na poslužitelju i samo uspostavljene veze.

netstat -an | grep: 80 | vrsta

Prikažite samo aktivne internetske veze s poslužiteljem na priključku 80, koji je http priključak, i razvrstajte rezultate. Korisno u otkrivanju jedne poplave (poplava), tako da omogućuje prepoznavanje mnogih veza koje dolaze s IP adrese.

netstat -n -p | grep SYN_REC | wc -l

Ova je naredba korisna da bi se znalo koliko se aktivnih SYNC_REC-ova događa na poslužitelju. Broj bi trebao biti prilično nizak, po mogućnosti manji od 5. U slučajevima napada uskraćivanja usluge ili bombaških napada, taj broj može biti prilično velik. Međutim, vrijednost uvijek ovisi o sustavu, pa je visoka vrijednost možda normalna na drugom poslužitelju.

netstat -n -p | grep SYN_REC | razvrstati -u

Napravite popis svih IP adresa uključenih.

netstat -n -p | grep SYN_REC | awk '{ispis $ 5}' | awk -F: '{ispis $ 1}'

Navedite sve jedinstvene IP adrese čvora koji šalju status veze SYN_REC.

netstat -ntu | awk '{ispis $ 5}' | izrezati -d: -f1 | razvrstaj | uniq -c | razvrstati -n

Upotrijebite naredbu netstat za izračunavanje i brojanje broja veza sa svake IP adrese koju uspostavite s poslužiteljem.

netstat -anp | grep 'tcp | udp' | awk '{ispis $ 5}' | izrezati -d: -f1 | razvrstaj | uniq -c | razvrstati -n

Broj IP adresa koje se povezuju s poslužiteljem pomoću TCP ili UDP protokola.

netstat -ntu | grep ESTAB | awk '{ispis $ 5}' | izrezati -d: -f1 | razvrstaj | uniq -c | razvrstati -nr

Provjerite veze s oznakom ESTABLISHED umjesto svih veza i pokažite veze za svaku IP adresu.

netstat -plan | grep: 80 | awk {'ispiši $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1

Prikazuje i popis IP adresa i njihov broj veza koje se spajaju na priključak 80 na poslužitelju. Port 80 HTTP prvenstveno koristi za web zahtjeve.

Kako ublažiti DOS napad

Nakon što pronađete IP adresu koju poslužitelj napada, možete koristiti sljedeće naredbe da biste blokirali njihovu vezu s vašim poslužiteljem:

iptables -A ULAZ 1-s $ IPADRES -j PAD / ODBIJANJE

Imajte na umu da $ IPADRESS morate zamijeniti IP adresama koje su pronađene pomoću netstat-a.

Nakon pokretanja gornje naredbe, UBIJITE sve httpd veze kako biste očistili sustav i kasnije ga ponovo pokrenuli pomoću sljedećih naredbi:

killall -UBITI httpd
usluga httpd start # Za Red Hat sustave / etc / init / d / apache2 restart # Za Debian sustave

izvor: Linuxaria


Sadržaj članka pridržava se naših načela urednička etika. Da biste prijavili pogrešku, kliknite ovdje.

7 komentara, ostavi svoj

Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   James_Che dijo

    Mozilla je prisiljena dodati DRM videozapisima u Firefoxu
    http://alt1040.com/2014/05/mozilla-drm-firefox
    Znam da to nema nikakve veze s postom. Ali želio bih znati što mislite o ovome. Dobra stvar je što se može onemogućiti.

    1.    elav dijo

      Čovječe, za rasprave je forum.

      1.    MSX dijo

        Vi koji ste čovjek iz iproute2, probajte 's' ...

    2.    nano dijo

      Slažem se s Elavom, forum je za nešto ... Neću izbrisati komentar, ali, molim vas, morate iskoristiti mjesta predviđena za svaku stvar.

  2.   Grafička crta dijo

    Umjesto grep, egrep
    netstat -anp | grep 'tcp | udp' | awk '{ispis $ 5}' | izrezati -d: -f1 | razvrstaj | uniq -c | razvrstati -n

    od

    netstat -anp | egrep 'tcp | udp' | awk '{ispis $ 5}' | izrezati -d: -f1 | razvrstaj | uniq -c | razvrstati -n

  3.   JuanSRC dijo

    Ovo će biti za projekt koji ću postaviti gdje postoji mnogo mogućnosti da postanem DDoS meta

  4.   Raiola vlada, a ne panda dijo

    Puno vam hvala na informacijama, u posljednje vrijeme konkurencija je velika na tu temu.