NetStat:DDoS攻撃を検出するためのヒント

で非常に興味深い記事を見つけました リナリア サーバーが攻撃を受けているかどうかを検出する方法について DDoS攻撃 (分散型サービス拒否)、または同じもの、 サービス拒否攻撃.

DDoS攻撃を防ぐためのNetStat

このタイプの攻撃は非常に一般的であり、サーバーがやや遅い理由である可能性があり(ただし、レイヤー8の問題になる可能性もあります)、事前に警告しても問題はありません。 これを行うには、ツールを使用できます netstat、これにより、ネットワーク接続、ルートテーブル、インターフェイス統計、およびその他の一連の情報を確認できます。

NetStatの例

netstat -na

この画面には、サーバー上のすべてのアクティブなインターネット接続と確立された接続のみが含まれます。

netstat -an | grep:80 | ソート

httpポートであるポート80でサーバーへのアクティブなインターネット接続のみを表示し、結果を並べ替えます。 単一の洪水の検出に役立ちます(洪水)したがって、IPアドレスからの多くの接続を認識できます。

netstat -n -p | grep SYN_REC | wc -l

このコマンドは、サーバー上で発生しているアクティブなSYNC_RECの数を知るのに役立ちます。 数は非常に少なく、できれば5未満にする必要があります。 サービス拒否攻撃やメール爆撃の事件では、その数は非常に多くなる可能性があります。 ただし、値は常にシステムに依存するため、別のサーバーでは高い値が正常である可能性があります。

netstat -n -p | grep SYN_REC | 並べ替え-u

関係者のすべてのIPアドレスのリストを作成します。

netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{print $ 1}'

SYN_REC接続ステータスを送信しているノードのすべての一意のIPアドレスを一覧表示します。

netstat -ntu | awk '{print $ 5}' | カット-d:-f1 | 並べ替え| uniq -c | 並べ替え-n

netstatコマンドを使用して、サーバーへの各IPアドレスからの接続数を計算してカウントします。

netstat -anp | grep'tcp | udp '| awk '{print $ 5}' | カット-d:-f1 | 並べ替え| uniq -c | 並べ替え-n

TCPまたはUDPプロトコルを使用してサーバーに接続するIPアドレスの数。

netstat -ntu | grep ESTAB | awk '{print $ 5}' | カット-d:-f1 | 並べ替え| uniq -c | sort -nr

すべての接続ではなく、ESTABLISHEDとマークされた接続を確認し、各IPの接続を表示します。

netstat -plan | grep:80 | awk {'print $ 5'} | cut -d:-f 1 | sort | uniq -c | sort -nk 1

サーバーのポート80に接続するIPアドレスとその接続数の表示とリスト。 ポート80は、主にHTTPによってWeb要求に使用されます。

DOS攻撃を軽減する方法

サーバーが攻撃しているIPを見つけたら、次のコマンドを使用してサーバーへの接続をブロックできます。

iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT

$ IPADRESSを、netstatで見つかったIPアドレスに置き換える必要があることに注意してください。

上記のコマンドを実行した後、すべてのhttpd接続を強制終了してシステムをクリーンアップし、後で次のコマンドを使用して再起動します。

killall -KILL httpd
service httpd start#RedHatシステムの場合/ etc / init / d / apache2 restart#Debianシステムの場合

出典 リナリア


記事の内容は、次の原則に準拠しています。 編集倫理。 エラーを報告するには、 ここで.

7コメント、あなたのコメントを残してください

コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。

  1.   ジェームス・チェ

    MozillaはFirefoxのビデオにDRMを追加することを余儀なくされています
    http://alt1040.com/2014/05/mozilla-drm-firefox
    私はそれが投稿とは何の関係もないことを知っています。 しかし、私はあなたがこれについてどう思うか知りたいです。 良い点は、無効にできることです。

    1.    エラヴ

      男、討論のために フォーラム.

      1.    MSX

        iproute2の男性であるあなたは、「ss」を試してください...

    2.    ドワーフ

      私はElavに同意します、フォーラムは何かのためです...私はコメントを削除しませんが、それぞれに提供されたスペースを利用してください。

  2.   グラフィックライン

    grepの代わりに、egrep
    netstat -anp | grep'tcp | udp '| awk '{print $ 5}' | カット-d:-f1 | 並べ替え| uniq -c | 並べ替え-n

    によって

    netstat -anp | egrep'tcp | udp '| awk '{print $ 5}' | カット-d:-f1 | 並べ替え| uniq -c | 並べ替え-n

  3.   JuanSRC

    これは、DDoSターゲットになる可能性が非常に高いプロジェクトを設定するためのものです。

  4.   パンダではなくライオラが支配する

    情報ありがとうございますが、最近は競争が激しくなっています。