NetStat: គន្លឹះដើម្បីរកការវាយប្រហារ DDoS

ខ្ញុំបានរកឃើញអត្ថបទគួរឱ្យចាប់អារម្មណ៍ខ្លាំងណាស់នៅក្នុង លីនុច របៀបរកមើលប្រសិនបើម៉ាស៊ីនមេរបស់យើងរងការវាយប្រហារ DDoS (បដិសេធការចែកចាយសេវាកម្ម), ឬអ្វីដែលដូចគ្នា, ការបដិសេធសេវាកម្មវាយប្រហារ.

ការវាយប្រហារប្រភេទនេះគឺជារឿងធម្មតាហើយអាចជាមូលហេតុដែលម៉ាស៊ីនមេរបស់យើងមានល្បឿនយឺតបន្តិច (ទោះបីជាវាអាចជាបញ្ហាស្រទាប់ ៨ ក៏ដោយ) ហើយវាមិនដែលឈឺចាប់ដែលត្រូវបានគេព្រមានជាមុននោះទេ។ ដើម្បីធ្វើដូចនេះអ្នកអាចប្រើឧបករណ៍ netstatដែលអនុញ្ញាតឱ្យយើងមើលឃើញការភ្ជាប់បណ្តាញតារាងផ្លូវស្ថិតិចំណុចប្រទាក់និងស៊េរីផ្សេងទៀត។

ឧទាហរណ៍ NetStat

ណេតស្តាត -ណា

អេក្រង់នេះនឹងរួមបញ្ចូលការភ្ជាប់អ៊ីធឺណិតសកម្មទាំងអស់នៅលើម៉ាស៊ីនមេហើយមានតែការតភ្ជាប់ប៉ុណ្ណោះ។

netstat -an | grep: ៨០ | តម្រៀប

បង្ហាញតែការភ្ជាប់អ៊ីធឺណិតសកម្មទៅម៉ាស៊ីនមេនៅច្រក ៨០ ដែលជាច្រក http ហើយតម្រៀបលទ្ធផល។ មានប្រយោជន៍ក្នុងការរកឃើញទឹកជំនន់តែមួយ (ទឹកជំនន់) ដូច្នេះវាអនុញ្ញាតឱ្យស្គាល់ការតភ្ជាប់ជាច្រើនពីអាសយដ្ឋាន IP ។

netstat -n -p | grep SYN_REC | wc -l

ពាក្យបញ្ជានេះមានប្រយោជន៍ដើម្បីដឹងថាតើ SYNC_REC សកម្មប៉ុន្មានកំពុងកើតឡើងនៅលើម៉ាស៊ីនមេ។ លេខគួរតែទាបណាស់និយមតិចជាង ៥ ។ ក្នុងករណីមានការបដិសេធនៃការវាយប្រហារសេវាកម្មឬគ្រាប់បែកតាមអ៊ីម៉ែលចំនួនអាចខ្ពស់ណាស់។ ទោះយ៉ាងណាក៏ដោយតម្លៃតែងតែអាស្រ័យលើប្រព័ន្ធដូច្នេះតម្លៃខ្ពស់អាចជារឿងធម្មតានៅលើម៉ាស៊ីនមេផ្សេងទៀត។

netstat -n -p | grep SYN_REC | តម្រៀប -u

ធ្វើបញ្ជីអាសយដ្ឋាន IP ទាំងអស់របស់អ្នកដែលពាក់ព័ន្ធ។

netstat -n -p | grep SYN_REC | awk '{បោះពុម្ព ៥ ដុល្លារ}' | awk -F: '{បោះពុម្ព $ 5}'

រាយអាសយដ្ឋាន IP តែមួយគត់នៃថ្នាំងដែលផ្ញើស្ថានភាពការតភ្ជាប់ SYN_REC ។

netstat -ntu | awk '{បោះពុម្ព ៥ ដុល្លារ}' | cut -d: -f5 | តម្រៀប | uniq -c | តម្រៀប -n

ប្រើពាក្យបញ្ជា netstat ដើម្បីគណនានិងរាប់ចំនួននៃការតភ្ជាប់ពីអាសយដ្ឋាន IP នីមួយៗដែលអ្នកបានបង្កើតទៅម៉ាស៊ីនមេ។

netstat -anp | grep 'tcp | udp' | awk '{បោះពុម្ព ៥ ដុល្លារ}' | cut -d: -f5 | តម្រៀប | uniq -c | តម្រៀប -n

ចំនួនអាសយដ្ឋាន IP ដែលភ្ជាប់ទៅម៉ាស៊ីនមេដោយប្រើពិធីការ TCP ឬ UDP ។

netstat -ntu | grep ESTAB | awk '{បោះពុម្ព ៥ ដុល្លារ}' | cut -d: -f5 | តម្រៀប | uniq -c | តម្រៀប -nr

ពិនិត្យការភ្ជាប់ដែលបានសម្គាល់ ESTABLISHED ជំនួសឱ្យការភ្ជាប់ទាំងអស់និងបង្ហាញការតភ្ជាប់សម្រាប់អាយភីនីមួយៗ។

netstat -plan | grep: 80 | awk {'បោះពុម្ព $ 5'} | កាត់ -d: -f 1 | តម្រៀប | uniq -c | តម្រៀប -nk 1

បង្ហាញនិងបញ្ជីអាសយដ្ឋាន IP និងចំនួននៃការតភ្ជាប់របស់ពួកគេភ្ជាប់ទៅច្រក 80 នៅលើម៉ាស៊ីនមេ។ ច្រក ៨០ ត្រូវបានប្រើជាចម្បងដោយ HTTP សម្រាប់សំណើគេហទំព័រ។

វិធីកាត់បន្ថយការវាយប្រហារ DOS

នៅពេលដែលអ្នកបានរកឃើញ IP ដែលម៉ាស៊ីនមេកំពុងវាយលុកអ្នកអាចប្រើពាក្យបញ្ជាខាងក្រោមដើម្បីរារាំងការភ្ជាប់របស់ពួកគេទៅកាន់ម៉ាស៊ីនមេរបស់អ្នក។

iptables-INPUT 1 -s $ IPADRESS -j DROP / REJECT

ចំណាំថាអ្នកត្រូវជំនួស $ IPADRESS ជាមួយអាសយដ្ឋាន IP ដែលត្រូវបានរកឃើញជាមួយប្រព័ន្ធអ៊ីនធឺណិត។

បន្ទាប់ពីបណ្តេញពាក្យបញ្ជាខាងលើរួចសូមភ្ជាប់រាល់ការភ្ជាប់ httpd ដើម្បីសម្អាតប្រព័ន្ធរបស់អ្នកនិងចាប់ផ្តើមវាឡើងវិញនៅពេលក្រោយដោយប្រើពាក្យបញ្ជាខាងក្រោម៖

killall -សម្លាប់ httpd

សេវា httpd ចាប់ផ្តើម # សម្រាប់ប្រព័ន្ធ Red Hat / etc / init / d / apache2 restart # សម្រាប់ប្រព័ន្ធដេបៀន

ប្រភព: លីនុច