Ho trovato un articolo molto interessante in linuxaria su come rilevare se il nostro Server è sotto attacco Protezione (Distributed Denial of Service)o che cosa è lo stesso, Attacco Denial of Services.
Questo tipo di attacco è abbastanza comune e potrebbe essere il motivo per cui i nostri server sono un po 'lenti (sebbene possa anche essere un problema di livello 8) e non fa mai male essere avvisati. Per fare ciò, puoi usare lo strumento netstat, che ci permette di vedere connessioni di rete, tabelle di instradamento, statistiche di interfaccia e altre serie di cose.
Esempi NetStat
netstat -na
Questa schermata includerà tutte le connessioni Internet attive sul server e solo le connessioni stabilite.
netstat -an | grep: 80 | ordinare
Mostra solo le connessioni Internet attive al server sulla porta 80, che è la porta http, e ordina i risultati. Utile per rilevare una singola alluvione (alluvione) quindi permette di riconoscere molte connessioni provenienti da un indirizzo IP.
netstat -n -p | grep SYN_REC | wc -l
Questo comando è utile per sapere quanti SYNC_REC attivi sono presenti sul server. Il numero dovrebbe essere piuttosto basso, preferibilmente inferiore a 5. In caso di attacchi denial of service o mail bomb, il numero può essere piuttosto elevato. Tuttavia, il valore dipende sempre dal sistema, quindi un valore alto potrebbe essere normale su un altro server.
netstat -n -p | grep SYN_REC | ordina -u
Fai un elenco di tutti gli indirizzi IP delle persone coinvolte.
netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: "{print $ 1}"
Elenca tutti gli indirizzi IP univoci del nodo che inviano lo stato di connessione SYN_REC.
netstat -ntu | awk '{print $ 5}' | cut -d: -f1 | ordina | uniq -c | sort -n
Utilizzare il comando netstat per calcolare e contare il numero di connessioni da ciascun indirizzo IP effettuato al server.
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | ordina | uniq -c | sort -n
Numero di indirizzi IP che si connettono al server utilizzando il protocollo TCP o UDP.
netstat -ntu | grep ESTAB | awk '{print $ 5}' | cut -d: -f1 | ordina | uniq -c | sort -nr
Controllare le connessioni contrassegnate come ESTABLISHED invece di tutte le connessioni e mostrare le connessioni per ogni IP.
netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1
Visualizzazione ed elenco di indirizzi IP e il loro numero di connessioni che si connettono alla porta 80 sul server. La porta 80 viene utilizzata principalmente da HTTP per le richieste Web.
Come mitigare un attacco DOS
Una volta individuato l'IP che il server sta attaccando, puoi utilizzare i seguenti comandi per bloccare la loro connessione al tuo server:
iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT
Nota che devi sostituire $ IPADRESS con gli indirizzi IP che sono stati trovati con netstat.
Dopo aver attivato il comando precedente, KILL tutte le connessioni httpd per pulire il sistema e riavviarlo in seguito utilizzando i seguenti comandi:
killall -KILL httpd
service httpd start # Per i sistemi Red Hat / etc / init / d / apache2 restart # Per i sistemi Debian
fonte: linuxaria
Mozilla è costretto ad aggiungere DRM ai video in Firefox
http://alt1040.com/2014/05/mozilla-drm-firefox
So che non ha niente a che fare con il post. Ma vorrei sapere cosa ne pensi di questo. La cosa buona è che può essere disabilitato.
L'uomo, per i dibattiti lo è Forum.
Tu che sei un uomo iproute2, prova 'ss' ...
Concordo con Elav, il forum serve a qualcosa ... Non cancellerò il commento ma, per favore, sfrutta gli spazi previsti per ogni voce.
Invece di grep, egrep
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | ordina | uniq -c | sort -n
by
netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | ordina | uniq -c | sort -n
Questo sarà per un progetto che sto per impostare in cui ci sono molte possibilità di essere bersagli DDoS
Grazie mille per l'informazione, ultimamente la concorrenza è pesante sull'argomento.