Saya telah menemukan artikel yang sangat menarik di linuxaria tentang cara mendeteksi jika Server kami diserang DDoS (Penolakan Layanan Terdistribusi), Atau apa yang sama, Serangan Denial of Services.
Jenis serangan ini cukup umum dan mungkin menjadi alasan mengapa server kami agak lambat (meskipun ini juga bisa menjadi masalah Layer 8) dan tidak ada salahnya untuk diperingatkan sebelumnya. Untuk melakukan ini, Anda dapat menggunakan alat tersebut netstat, yang memungkinkan kita untuk melihat koneksi jaringan, tabel rute, statistik antarmuka, dan rangkaian hal lainnya.
Contoh NetStat
status bersih -na
Layar ini akan menyertakan semua koneksi Internet aktif di server dan hanya koneksi yang dibuat.
netstat -an | grep: 80 | menyortir
Tampilkan hanya koneksi Internet yang aktif ke server pada port 80, yang merupakan port http, dan urutkan hasilnya. Berguna dalam mendeteksi satu banjir (banjir) sehingga memungkinkan untuk mengenali banyak koneksi dari alamat IP.
netstat -n -p | grep SYN_REC | wc -l
Perintah ini berguna untuk mengetahui berapa banyak SYNC_REC aktif yang terjadi di server. Jumlahnya harus cukup rendah, sebaiknya kurang dari 5. Dalam insiden serangan penolakan layanan atau bom surat, jumlahnya bisa sangat tinggi. Namun, nilainya selalu bergantung pada sistem, jadi nilai yang tinggi mungkin normal di server lain.
netstat -n -p | grep SYN_REC | urutkan -u
Buat daftar semua alamat IP mereka yang terlibat.
netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{print $ 1}'
Buat daftar semua alamat IP unik dari node yang mengirimkan status koneksi SYN_REC.
netstat -ntu | awk '{print $ 5}' | potong -d: -f1 | urutkan | uniq -c | sort -n
Gunakan perintah netstat untuk menghitung dan menghitung jumlah koneksi dari setiap alamat IP yang Anda buat ke server.
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | potong -d: -f1 | urutkan | uniq -c | sort -n
Jumlah alamat IP yang terhubung ke server menggunakan protokol TCP atau UDP.
netstat -ntu | grep ESTAB | awk '{print $ 5}' | potong -d: -f1 | urutkan | uniq -c | sort -nr
Periksa koneksi bertanda ESTABLISHED alih-alih semua koneksi, dan tunjukkan koneksi untuk setiap IP.
netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1
Menampilkan dan daftar alamat IP dan jumlah koneksinya yang terhubung ke port 80 di server. Port 80 digunakan terutama oleh HTTP untuk permintaan Web.
Bagaimana mengurangi serangan DOS
Setelah Anda menemukan IP yang diserang server, Anda dapat menggunakan perintah berikut untuk memblokir koneksi mereka ke server Anda:
iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT
Perhatikan bahwa Anda harus mengganti $ IPADRESS dengan alamat IP yang telah ditemukan dengan netstat.
Setelah menjalankan perintah di atas, BUNUH semua koneksi httpd untuk membersihkan sistem Anda dan mulai ulang nanti menggunakan perintah berikut:
killall -MEMBUNUH httpd
service httpd start # Untuk sistem Red Hat / etc / init / d / apache2 restart # Untuk sistem Debian
sumber: linuxaria
Mozilla terpaksa menambahkan DRM ke video di Firefox
http://alt1040.com/2014/05/mozilla-drm-firefox
Saya tahu itu tidak ada hubungannya dengan pos. Tapi saya ingin tahu apa pendapat Anda tentang ini. Hal baiknya adalah itu bisa dinonaktifkan.
Man, untuk debat forum.
Anda yang seorang pria iproute2, cobalah 'ss' ...
Saya setuju dengan Elav, forum adalah untuk sesuatu ... Saya tidak akan menghapus komentar tetapi, tolong, Anda harus menggunakan ruang yang disediakan untuk setiap hal.
Dari pada grep, egrep
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | potong -d: -f1 | urutkan | uniq -c | sort -n
oleh
netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | potong -d: -f1 | urutkan | uniq -c | sort -n
Ini akan menjadi proyek yang akan saya siapkan di mana ada banyak kemungkinan menjadi target DDoS
Terima kasih banyak atas informasinya, akhir-akhir ini persaingan semakin ketat.