Találtam egy nagyon érdekes cikket linuxaria arról, hogyan lehet felismerni, hogy a szerverünket támadás érte-e DDoS (Elosztott szolgáltatásmegtagadás), Vagy mi ugyanaz, Szolgáltatások megtagadása támadás.
Ez a fajta támadás meglehetősen gyakori, és ez lehet az oka annak, hogy szervereink kissé lassúak (bár ez a 8. réteg problémája is lehet), és soha nem árt előre figyelmeztetni. Ehhez használhatja az eszközt netstat, amely lehetővé teszi számunkra a hálózati kapcsolatok, útvonal táblák, interfész statisztikák és egyéb dolgok sorozatának megtekintését.
NetStat-példák
netstat -na
Ez a képernyő tartalmazza a szerver összes aktív internetkapcsolatát, és csak a létrehozott kapcsolatokat.
netstat -an | grep: 80 | fajta
Csak az aktív internetkapcsolatokat jelenítse meg a 80-as porton lévő szerverrel, amely a http-port, és rendezze az eredményeket. Hasznos egyetlen áradás felderítésében (árvíz), így lehetővé teszi sok kapcsolat felismerését egy IP-címről.
netstat -n -p | grep SYN_REC | wc -l
Ez a parancs hasznos annak ismeretében, hogy hány aktív SYNC_REC történik a kiszolgálón. A számnak elég alacsonynak kell lennie, lehetőleg kevesebb, mint 5. Szolgáltatásmegtagadási támadások vagy postabomba esetén a szám meglehetősen magas lehet. Az érték azonban mindig rendszerfüggő, ezért a magas érték normális lehet egy másik kiszolgálón.
netstat -n -p | grep SYN_REC | sort -u
Készítsen listát az érintettek összes IP-címéről.
netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{print $ 1}'
Sorolja fel a SYN_REC kapcsolati állapotot küldő csomópont összes egyedi IP-címét.
netstat -ntu | awk '{print $ 5}' | vágás -d: -f1 | rendezés | uniq -c | rendezés -n
A netstat paranccsal kiszámíthatja és megszámolhatja a kiszolgálókhoz létrehozott minden egyes IP-cím kapcsolatát.
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | vágás -d: -f1 | rendezés | uniq -c | rendezés -n
A kiszolgálóhoz a TCP vagy UDP protokoll használatával csatlakozó IP-címek száma.
netstat -ntu | grep ESTAB | awk '{print $ 5}' | vágás -d: -f1 | rendezés | uniq -c | sort -nr
Ellenőrizze az ESTABLISHED jelöléssel ellátott kapcsolatokat az összes kapcsolat helyett, és mutassa meg az egyes IP-k kapcsolatait.
netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1
Megjeleníti és felsorolja az IP-címeket, valamint a szerver 80-as portjához csatlakozó kapcsolatok számát. A 80-as portot elsősorban a HTTP használja webes kérésekhez.
Hogyan lehet enyhíteni a DOS támadást
Miután megtalálta a kiszolgáló által támadott IP-címet, a következő parancsokkal blokkolhatja a kapcsolatot a szerverével:
iptables -A BEMENET 1 -s $ IPADRESS -j DROP / REJECT
Ne feledje, hogy a $ IPADRESS-t le kell cserélnie a megtalált IP-címekre a netstat-tal.
A fenti parancs kilövése után ÖLJ meg minden httpd-kapcsolatot a rendszer tisztításához, majd később indítsa újra a következő parancsokkal:
killall -KILL httpd
szolgáltatás httpd start # Red Hat rendszerekhez / etc / init / d / apache2 restart # Debian rendszerekhez
forrás: linuxaria
7 hozzászólás, hagyd a tiedet
A Mozilla kénytelen DRM-et adni a Firefox videókhoz
http://alt1040.com/2014/05/mozilla-drm-firefox
Tudom, hogy semmi köze a poszthoz. De szeretném tudni, mit gondol erről. A jó dolog az, hogy letiltható.
Ember, mert a viták az fórum.
Te, aki iproute2 ember vagy, próbáld ki a 'ss' -t ...
Egyetértek Elavval, a fórum valaminek szól ... Nem törlöm a megjegyzést, de kérem, használja ki az egyes dolgok számára biztosított helyeket.
A grep helyett egrep
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | vágás -d: -f1 | rendezés | uniq -c | rendezés -n
által
netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | vágás -d: -f1 | rendezés | uniq -c | rendezés -n
Ez egy olyan projektre vonatkozik, amelyet fel fogok állítani, ahol számos lehetőség áll rendelkezésre a DDoS-célok elérésére
Köszönöm szépen az információkat, az utóbbi időben nagy a verseny a témában.