מצאתי מאמר מעניין מאוד ב לינוקסריה כיצד לזהות אם השרת שלנו מותקף DDoS (מניעת שירות מבוזרת), או מה זהה, התקפת מניעת שירותים.
סוג זה של תקיפה הוא די נפוץ ועשויה להיות הסיבה לכך שהשרתים שלנו איטיים במקצת (אם כי זה יכול להיות גם בעיה של שכבה 8) וזה אף פעם לא כואב להיות מוזהרים מראש. לשם כך תוכלו להשתמש בכלי netstat, המאפשר לנו לראות חיבורי רשת, טבלאות מסלול, סטטיסטיקות ממשק וסדרות אחרות של דברים.
דוגמאות NetStat
netstat -na
מסך זה יכלול את כל חיבורי האינטרנט הפעילים בשרת וחיבורים מבוססים בלבד.
netstat -an | grep: 80 | סוג
הראה רק חיבורי אינטרנט פעילים לשרת ביציאה 80, שהיא יציאת http, ומיין את התוצאות. שימושי בזיהוי שיטפון בודד (מבול) כך שהוא מאפשר זיהוי חיבורים רבים מכתובת IP.
netstat -n -p | grep SYN_REC | wc -l
פקודה זו שימושית לדעת כמה SYNC_REC פעילים מתרחשים בשרת. המספר צריך להיות נמוך למדי, רצוי פחות מ -5. באירועים של התקפות של מניעת שירות או פצצות דואר, המספר יכול להיות גבוה למדי. עם זאת, הערך תלוי תמיד במערכת, ולכן ערך גבוה עשוי להיות תקין בשרת אחר.
netstat -n -p | grep SYN_REC | מיין -u
ערכו רשימה של כל כתובות ה- IP של המעורבים.
netstat -n -p | grep SYN_REC | awk '{הדפס $ 5}' | awk -F: '{הדפס $ 1}'
ציין את כל כתובות ה- IP הייחודיות של הצומת השולח את מצב החיבור SYN_REC.
netstat -ntu | awk '{הדפס $ 5}' | גזור -d: -f1 | מיין | uniq -c | מיין-ן
השתמש בפקודה netstat כדי לחשב ולספור את מספר החיבורים מכל כתובת IP שאתה מבצע לשרת.
netstat -anp | grep 'tcp | udp' | awk '{הדפס $ 5}' | גזור -d: -f1 | מיין | uniq -c | מיין-ן
מספר כתובות ה- IP המתחברות לשרת באמצעות פרוטוקול TCP או UDP.
netstat -ntu | grep ESTAB | awk '{הדפס $ 5}' | גזור -d: -f1 | מיין | uniq -c | מיין -nr
בדוק את החיבורים המסומנים ESTABLISHED במקום כל החיבורים, והראה את החיבורים עבור כל IP.
netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | מיין | uniq -c | מיין -nk 1
מראה ורשימת כתובות IP ומספר החיבורים שלהם שמתחברים ליציאה 80 בשרת. יציאה 80 משמשת בעיקר HTTP לבקשות אינטרנט.
כיצד למתן התקפת DOS
לאחר שמצאת את ה- IP שהשרת תוקף אתה יכול להשתמש בפקודות הבאות כדי לחסום את חיבורם לשרת שלך:
iptables -A קלט 1 -s $ IPADRESS -j DROP / REJECT
שים לב שעליך להחליף את $ IPADRESS בכתובות ה- IP שנמצאו ב- netstat.
לאחר ירי הפקודה הנ"ל, הרוג את כל חיבורי httpd כדי לנקות את המערכת שלך ולהפעיל אותה מאוחר יותר באמצעות הפקודות הבאות:
killall-KILL httpd
שירות httpd התחלה # למערכות Red Hat / etc / init / d / apache2 הפעלה מחדש # למערכות Debian
מקור: לינוקסריה
7 תגובות, השאר את שלך
מוזילה נאלצת להוסיף DRM לסרטונים בפיירפוקס
http://alt1040.com/2014/05/mozilla-drm-firefox
אני יודע שזה לא קשור לפוסט. אבל הייתי רוצה לדעת מה אתה חושב על זה. הדבר הטוב הוא שניתן להשבית אותו.
בנאדם, לדיונים זה פוֹרוּם.
אתה איש iproute2, נסה 'ss' ...
אני מסכים עם אלב, הפורום נועד למשהו ... אני לא מוחק את התגובה אבל בבקשה, עליכם לעשות שימוש במרחבים המסופקים לכל דבר.
במקום grep, egrep
netstat -anp | grep 'tcp | udp' | awk '{הדפס $ 5}' | גזור -d: -f1 | מיין | uniq -c | מיין-ן
ידי
netstat -anp | egrep 'tcp | udp' | awk '{הדפס $ 5}' | גזור -d: -f1 | מיין | uniq -c | מיין-ן
זה הולך להיות עבור פרויקט שאני אקים במקום שיש אפשרויות רבות להיות מטרות DDoS
תודה רבה על המידע, לאחרונה התחרות כבדה בנושא.