NetStat: რჩევები DDoS შეტევების დასადგენად

მე აღმოვაჩინე ძალიან საინტერესო სტატია ლინუქსარია თუ როგორ უნდა დავადგინოთ, არის თუ არა ჩვენი სერვერი თავდასხმის ქვეშ DDoS (განაწილებული უარი მომსახურებაზე), ან რა არის იგივე, მომსახურების უარყოფა თავდასხმა.

NetStat DDoS შეტევების თავიდან ასაცილებლად

ამ ტიპის შეტევა საკმაოდ ხშირია და შეიძლება იყოს მიზეზი იმისა, რომ ჩვენი სერვერები გარკვეულწილად ნელია (თუმცა შეიძლება ასევე იყოს Layer 8 პრობლემა) და ის არასდროს მწყინს იმის გაფრთხილებას. ამისათვის შეგიძლიათ გამოიყენოთ ინსტრუმენტი netstat, რაც საშუალებას გვაძლევს ვნახოთ ქსელის კავშირი, მარშრუტის ცხრილი, ინტერფეისის სტატისტიკა და სხვა რიგი საკითხები.

NetStat მაგალითები

netstat -ნა

ეს ეკრანი მოიცავს ყველა აქტიურ ინტერნეტ კავშირს სერვერზე და მხოლოდ დადგენილი კავშირები.

netstat -an | grep: 80 | დალაგება

აჩვენეთ მხოლოდ აქტიური ინტერნეტ კავშირები სერვერთან 80 პორტში, რომელიც არის http პორტი და დაალაგეთ შედეგები. სასარგებლოა ერთი წყალდიდობის გამოვლენისას (წყალდიდობა) ასე რომ, ეს საშუალებას იძლევა აღიაროთ მრავალი კავშირი IP მისამართიდან.

netstat -n -p | grep SYN_REC | wc -l

ეს ბრძანება სასარგებლოა იმის ცოდნისთვის, თუ რამდენი აქტიური SYNC_REC ხდება სერვერზე. რიცხვი საკმაოდ დაბალი უნდა იყოს, სასურველია 5-ზე ნაკლები. სამსახურზე უარის თქმის ან ფოსტის ბომბების უარყოფის შემთხვევებში, რიცხვი შეიძლება საკმაოდ მაღალი იყოს. ამასთან, მნიშვნელობა ყოველთვის დამოკიდებულია სისტემაზე, ამიტომ სხვა სერვერზე მაღალი მნიშვნელობა შეიძლება იყოს ნორმალური.

netstat -n -p | grep SYN_REC | დალაგება -u

შეადგინეთ ყველა IP მისამართების სია.

netstat -n -p | grep SYN_REC | awk '{ბეჭდვა $ 5}' | awk -F: '{{$ 1 ბეჭდვა}'

ჩამოთვალეთ კვანძის ყველა უნიკალური IP მისამართი, რომლებიც აგზავნიან SYN_REC კავშირის სტატუსს.

netstat -ntu | awk '{ბეჭდვა $ 5}' | cut -d: -f1 | დალაგება | uniq -c | დალაგება -n

გამოიყენეთ netstat ბრძანება, რომ გამოთვალოთ და დაითვალოთ ყოველი IP მისამართიდან, რომელსაც აკეთებთ სერვერზე.

netstat -anp | grep 'tcp | udp' | awk '{ბეჭდვა $ 5}' | cut -d: -f1 | დალაგება | uniq -c | დალაგება -n

IP მისამართების რაოდენობა, რომლებიც დაკავშირებულია სერვერთან TCP ან UDP პროტოკოლის გამოყენებით.

netstat -ntu | grep ESTAB | awk '{ბეჭდვა $ 5}' | cut -d: -f1 | დალაგება | uniq -c | დალაგება -ნრ

გადაამოწმეთ ყველა კავშირის ნაცვლად ESTABLISHED მითითებული კავშირები და აჩვენეთ კავშირები თითოეული IP– სთვის.

netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | დალაგება | uniq -c | დალაგების -nk 1

აჩვენებს IP მისამართების ჩამონათვალს და მათ კავშირების რაოდენობას, რომლებიც დაკავშირებულია სერვერზე 80 პორტთან. პორტს 80 იყენებს ძირითადად HTTP ვებ – მოთხოვნებისთვის.

როგორ შევამსუბუქოთ DOS შეტევა

მას შემდეგ რაც იპოვნეთ IP, რომ სერვერი თავს ესხმის, შეგიძლიათ გამოიყენოთ შემდეგი ბრძანებები, რომ დაბლოკოთ მათი კავშირი თქვენს სერვერთან:

iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT

გაითვალისწინეთ, რომ თქვენ უნდა შეცვალოთ $ IPADRESS IP მისამართებით, რომლებიც ნაპოვნია netstat- ით.

ზემოთ მითითებული ბრძანების გააქტიურების შემდეგ, კლავს ყველა httpd კავშირი, რომ გაასუფთაოთ თქვენი სისტემა და შემდეგ კვლავ განაახლოთ შემდეგი ბრძანებების გამოყენებით:

კილარი -KILL httpd
მომსახურება httpd დაწყება # Red Hat სისტემებისთვის / etc / init / d / apache2 გადატვირთეთ # Debian სისტემებისთვის

წყარო: ლინუქსარია


სტატიის შინაარსი იცავს ჩვენს პრინციპებს სარედაქციო ეთიკა. შეცდომის შესატყობინებლად დააჭირეთ ღილაკს აქ.

7 კომენტარი დატოვე შენი

დატოვე კომენტარი

თქვენი ელფოსტის მისამართი გამოქვეყნებული არ იყო. აუცილებელი ველები აღნიშნულია *

*

*

  1. მონაცემებზე პასუხისმგებელი: მიგელ ანგელ გატონი
  2. მონაცემთა მიზანი: სპამის კონტროლი, კომენტარების მართვა.
  3. ლეგიტიმაცია: თქვენი თანხმობა
  4. მონაცემთა კომუნიკაცია: მონაცემები არ გადაეცემა მესამე პირებს, გარდა სამართლებრივი ვალდებულებისა.
  5. მონაცემთა შენახვა: მონაცემთა ბაზა, რომელსაც უმასპინძლა Occentus Networks (EU)
  6. უფლებები: ნებისმიერ დროს შეგიძლიათ შეზღუდოთ, აღადგინოთ და წაშალოთ თქვენი ინფორმაცია.

  1.   ჯეიმს_ჩე დიჯო

    Mozilla იძულებულია დაამატოს DRM ვიდეოებს Firefox- ში
    http://alt1040.com/2014/05/mozilla-drm-firefox
    მე ვიცი, რომ მას საერთო არაფერი აქვს პოსტთან. მაგრამ მინდა ვიცოდე რას ფიქრობ ამაზე. კარგია, რომ მისი გამორთვა შეიძლება.

    1.    ელავი დიჯო

      ადამიანი, დებატებისთვის არის ფორუმი.

      1.    msx დიჯო

        თქვენ, ვინც iproute2 კაცი ხართ, სცადეთ 's' ...

    2.    nano დიჯო

      ვეთანხმები ელავს, ფორუმი რაღაცისთვისაა ... კომენტარს არ წაშლის, მაგრამ, გთხოვთ, გამოიყენოთ თითოეული ადგილისთვის გათვალისწინებული ადგილები.

  2.   გრაფიკული ხაზი დიჯო

    ნაცვლად grep, egrep
    netstat -anp | grep 'tcp | udp' | awk '{ბეჭდვა $ 5}' | cut -d: -f1 | დალაგება | uniq -c | დალაგება -n

    მიერ

    netstat -anp | egrep 'tcp | udp' | awk '{ბეჭდვა $ 5}' | cut -d: -f1 | დალაგება | uniq -c | დალაგება -n

  3.   JuanSRC დიჯო

    ეს იქნება იმ პროექტისთვის, რომლის შექმნასაც ვაპირებ, სადაც DDoS სამიზნეების მრავალი შესაძლებლობა არსებობს

  4.   რაიოლა წესებს და არა პანდას დიჯო

    დიდი მადლობა ინფორმაციისთვის, ბოლო პერიოდში კონკურენცია ამ თემაზე საკმაოდ მძიმეა.