Мен өте қызықты мақала таптым линуксария біздің Серверге шабуыл жасалып жатқанын қалай анықтау керек DDoS (Қызмет көрсетуден бас тарту), Немесе бірдей, Қызмет көрсетуден бас тарту шабуылы.
Шабуылдың бұл түрі жиі кездеседі және біздің серверлердің баяу жұмыс жасауының себебі болуы мүмкін (бірақ ол Layer 8 проблемасы болуы мүмкін) және бұл алдын-ала ескертуге ешқашан зиян тигізбейді. Мұны істеу үшін сіз құралды пайдалана аласыз netstat, бұл бізге желілік қосылыстарды, маршруттық кестелерді, интерфейс статистикасын және басқа да заттарды көруге мүмкіндік береді.
NetStat мысалдары
netstat -на
Бұл экранға сервердегі барлық белсенді Интернет байланыстары және тек орнатылған байланыстар кіреді.
netstat -an | греп: 80 | сұрыптау
HTTP порты болып табылатын 80 порттағы серверге тек белсенді Интернет қосылымдарын көрсетіп, нәтижелерін сұрыптаңыз. Бір ғана тасқын суды анықтауда пайдалы (Су тасқыны) бұл IP мекенжайынан келетін көптеген байланыстарды тануға мүмкіндік береді.
netstat -n -p | grep SYN_REC | wc -l
Бұл команда серверде қанша белсенді SYNC_REC болатынын білу үшін пайдалы. Саны айтарлықтай аз, жақсырақ 5-тен кем болуы керек. Қызметтік шабуылдардан бас тарту немесе пошта жарылыстары жағдайында олардың саны өте көп болуы мүмкін. Алайда, мән әрқашан жүйеге тәуелді, сондықтан басқа серверде жоғары мән қалыпты болуы мүмкін.
netstat -n -p | grep SYN_REC | сұрыптау -у
Қатысушылардың барлық IP мекен-жайларының тізімін жасаңыз.
netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{print $ 1}'
SYN_REC қосылым күйін жіберетін түйіннің барлық бірегей IP мекенжайларын тізімдеңіз.
netstat -ntu | awk '{print $ 5}' | кесу -d: -f1 | сұрыптау | uniq -c | сұрыптау -n
Netstat пәрменін қолданып, серверге қосылатын әрбір IP-мекен-жайдан қосылымдар санын есептеп, санап шығыңыз.
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | кесу -d: -f1 | сұрыптау | uniq -c | сұрыптау -n
TCP немесе UDP протоколы арқылы серверге қосылатын IP-адрес саны.
netstat -ntu | grep ESTAB | awk '{print $ 5}' | кесу -d: -f1 | сұрыптау | uniq -c | сұрыптау -nr
Барлық қосылымдардың орнына ЕРКІН деп белгіленген қосылымдарды тексеріп, әр IP үшін қосылымдарды көрсетіңіз.
netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1
IP-адрестерді көрсету және тізімі және олардың сервердегі 80 портқа қосылатын қосылыстар саны. Порт 80 негізінен HTTP арқылы веб-сұраныстар үшін қолданылады.
DOS шабуылын қалай азайтуға болады
Сервер шабуылдап жатқан IP-ді тапқаннан кейін, олардың серверге қосылуын бұғаттау үшін келесі пәрмендерді пайдалануға болады:
iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT
$ IPADRESS-ті netstat-пен табылған IP-мекен-жайға ауыстыру керек екенін ескеріңіз.
Жоғарыда келтірілген пәрменді орындағаннан кейін, жүйені тазарту үшін барлық httpd байланыстарын ӨЛТІРІП, оны келесі командалар арқылы қайта қосыңыз:
killall -өлтіру httpd
httpd қызметі # Red Hat жүйелері үшін / etc / init / d / apache2 қайта іске қосыңыз # Debian жүйелері үшін
Дерек көзі: линуксария
7 пікір, өз пікіріңізді қалдырыңыз
Mozilla Firefox-тағы бейнелерге DRM қосуға мәжбүр
http://alt1040.com/2014/05/mozilla-drm-firefox
Мен оның поштаға еш қатысы жоқ екенін білемін. Бірақ мен бұл туралы сіздің ойыңызды білгім келеді. Жақсы нәрсе - оны өшіруге болады.
Адам, пікірталастар үшін форум.
Сіз iproute2 адамысыз, көріңіз ...
Мен Elav-мен келісемін, форум бір нәрсе үшін ... Мен түсініктемені өшірмеймін, бірақ сіз әр нәрсе үшін берілген орындарды пайдалануыңыз керек.
Grep, egrep орнына
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | кесу -d: -f1 | сұрыптау | uniq -c | сұрыптау -n
арқылы
netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | кесу -d: -f1 | сұрыптау | uniq -c | сұрыптау -n
Бұл DDoS мақсаттары болудың көптеген мүмкіндіктері бар жерде мен жасайтын жоба үшін болмақ
Ақпаратыңыз үшін көп рахмет, соңғы уақытта бұл тақырыпта бәсекелестік өте көп.