NetStat：DDoS攻撃を検出するためのヒント

で非常に興味深い記事を見つけました リナリア サーバーが攻撃を受けているかどうかを検出する方法について DDoS攻撃 （分散型サービス拒否）、または同じもの、 サービス拒否攻撃.

このタイプの攻撃は非常に一般的であり、サーバーがやや遅い理由である可能性があり（ただし、レイヤー8の問題になる可能性もあります）、事前に警告しても問題はありません。 これを行うには、ツールを使用できます netstat、これにより、ネットワーク接続、ルートテーブル、インターフェイス統計、およびその他の一連の情報を確認できます。

NetStatの例

netstat -な

この画面には、サーバー上のすべてのアクティブなインターネット接続と確立された接続のみが含まれます。

netstat -an | grep：80 | ソート

httpポートであるポート80でサーバーへのアクティブなインターネット接続のみを表示し、結果を並べ替えます。 単一の洪水の検出に役立ちます（洪水）したがって、IPアドレスからの多くの接続を認識できます。

netstat -n -p | grep SYN_REC | wc -l

このコマンドは、サーバー上で発生しているアクティブなSYNC_RECの数を知るのに役立ちます。 数は非常に少なく、できれば5未満にする必要があります。 サービス拒否攻撃やメール爆撃の事件では、その数は非常に多くなる可能性があります。 ただし、値は常にシステムに依存するため、別のサーバーでは高い値が正常である可能性があります。

netstat -n -p | grep SYN_REC | 並べ替え-u

関係者のすべてのIPアドレスのリストを作成します。

netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F： '{print $ 1}'

SYN_REC接続ステータスを送信しているノードのすべての一意のIPアドレスを一覧表示します。

netstat -ntu | awk '{print $ 5}' | カット-d：-f1 | 並べ替え| uniq -c | 並べ替え-n

netstatコマンドを使用して、サーバーへの各IPアドレスからの接続数を計算してカウントします。

netstat -anp | grep'tcp | udp '| awk '{print $ 5}' | カット-d：-f1 | 並べ替え| uniq -c | 並べ替え-n

TCPまたはUDPプロトコルを使用してサーバーに接続するIPアドレスの数。

netstat -ntu | grep ESTAB | awk '{print $ 5}' | カット-d：-f1 | 並べ替え| uniq -c | sort -nr

すべての接続ではなく、ESTABLISHEDとマークされた接続を確認し、各IPの接続を表示します。

netstat -plan | grep：80 | awk {'print $ 5'} | cut -d：-f 1 | sort | uniq -c | sort -nk 1

サーバーのポート80に接続するIPアドレスとその接続数の表示とリスト。 ポート80は、主にHTTPによってWeb要求に使用されます。

DOS攻撃を軽減する方法

サーバーが攻撃しているIPを見つけたら、次のコマンドを使用してサーバーへの接続をブロックできます。

iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT

$ IPADRESSを、netstatで見つかったIPアドレスに置き換える必要があることに注意してください。

上記のコマンドを実行した後、すべてのhttpd接続を強制終了してシステムをクリーンアップし、後で次のコマンドを使用して再起動します。

killall -KILL httpd

service httpd start＃RedHatシステムの場合/ etc / init / d / apache2 restart＃Debianシステムの場合

出典 リナリア