ನೆಟ್‌ಸ್ಟಾಟ್: ಡಿಡಿಒಎಸ್ ದಾಳಿಯನ್ನು ಪತ್ತೆಹಚ್ಚುವ ಸಲಹೆಗಳು

ನಾನು ಬಹಳ ಆಸಕ್ತಿದಾಯಕ ಲೇಖನವನ್ನು ಕಂಡುಕೊಂಡಿದ್ದೇನೆ ಲಿನಕ್ಸೇರಿಯಾ ನಮ್ಮ ಸರ್ವರ್ ಆಕ್ರಮಣದಲ್ಲಿದ್ದರೆ ಹೇಗೆ ಕಂಡುಹಿಡಿಯುವುದು ಎಂಬುದರ ಕುರಿತು ಡಿಡೋಸ್ (ವಿತರಣೆಯ ಸೇವೆಯ ನಿರಾಕರಣೆ), ಅಥವಾ ಅದೇ ಏನು, ಸೇವೆಗಳ ದಾಳಿಯ ನಿರಾಕರಣೆ.

ಈ ರೀತಿಯ ಆಕ್ರಮಣವು ತುಂಬಾ ಸಾಮಾನ್ಯವಾಗಿದೆ ಮತ್ತು ನಮ್ಮ ಸರ್ವರ್‌ಗಳು ಸ್ವಲ್ಪ ನಿಧಾನವಾಗಲು ಕಾರಣವಾಗಬಹುದು (ಇದು ಲೇಯರ್ 8 ಸಮಸ್ಯೆಯಾಗಿದ್ದರೂ ಸಹ) ಮತ್ತು ಇದು ಮುನ್ಸೂಚನೆ ನೀಡಲು ಎಂದಿಗೂ ನೋವುಂಟು ಮಾಡುವುದಿಲ್ಲ. ಇದನ್ನು ಮಾಡಲು, ನೀವು ಉಪಕರಣವನ್ನು ಬಳಸಬಹುದು netstat, ಇದು ನೆಟ್‌ವರ್ಕ್ ಸಂಪರ್ಕಗಳು, ಮಾರ್ಗ ಕೋಷ್ಟಕಗಳು, ಇಂಟರ್ಫೇಸ್ ಅಂಕಿಅಂಶಗಳು ಮತ್ತು ಇತರ ಸರಣಿಯ ವಿಷಯಗಳನ್ನು ನೋಡಲು ನಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.

ನೆಟ್‌ಸ್ಟಾಟ್ ಉದಾಹರಣೆಗಳು

ನೆಟ್‌ಸ್ಟಾಟ್ -ನಾ

ಈ ಪರದೆಯು ಸರ್ವರ್‌ನಲ್ಲಿನ ಎಲ್ಲಾ ಸಕ್ರಿಯ ಇಂಟರ್ನೆಟ್ ಸಂಪರ್ಕಗಳನ್ನು ಮತ್ತು ಸ್ಥಾಪಿತ ಸಂಪರ್ಕಗಳನ್ನು ಮಾತ್ರ ಒಳಗೊಂಡಿರುತ್ತದೆ.

netstat -an | grep: 80 | ವಿಂಗಡಿಸಿ

ಪೋರ್ಟ್ 80 ನಲ್ಲಿರುವ ಸರ್ವರ್‌ಗೆ ಸಕ್ರಿಯ ಇಂಟರ್ನೆಟ್ ಸಂಪರ್ಕಗಳನ್ನು ಮಾತ್ರ ತೋರಿಸಿ, ಅದು http ಪೋರ್ಟ್ ಆಗಿದೆ ಮತ್ತು ಫಲಿತಾಂಶಗಳನ್ನು ವಿಂಗಡಿಸಿ. ಒಂದೇ ಪ್ರವಾಹವನ್ನು ಕಂಡುಹಿಡಿಯಲು ಉಪಯುಕ್ತವಾಗಿದೆ (ಪ್ರವಾಹ) ಆದ್ದರಿಂದ ಇದು IP ವಿಳಾಸದಿಂದ ಅನೇಕ ಸಂಪರ್ಕಗಳನ್ನು ಗುರುತಿಸಲು ಅನುಮತಿಸುತ್ತದೆ.

netstat -n -p | grep SYN_REC | wc -l

ಸರ್ವರ್‌ನಲ್ಲಿ ಎಷ್ಟು ಸಕ್ರಿಯ SYNC_REC ಗಳು ಸಂಭವಿಸುತ್ತಿವೆ ಎಂದು ತಿಳಿಯಲು ಈ ಆಜ್ಞೆಯು ಉಪಯುಕ್ತವಾಗಿದೆ. ಸಂಖ್ಯೆ ಸಾಕಷ್ಟು ಕಡಿಮೆ ಇರಬೇಕು, ಮೇಲಾಗಿ 5 ಕ್ಕಿಂತ ಕಡಿಮೆ ಇರಬೇಕು. ಸೇವಾ ದಾಳಿ ಅಥವಾ ಮೇಲ್ ಬಾಂಬ್‌ಗಳನ್ನು ನಿರಾಕರಿಸುವ ಘಟನೆಗಳಲ್ಲಿ, ಸಂಖ್ಯೆ ಸಾಕಷ್ಟು ಹೆಚ್ಚಿರಬಹುದು. ಆದಾಗ್ಯೂ, ಮೌಲ್ಯವು ಯಾವಾಗಲೂ ಸಿಸ್ಟಮ್ ಅವಲಂಬಿತವಾಗಿರುತ್ತದೆ, ಆದ್ದರಿಂದ ಹೆಚ್ಚಿನ ಮೌಲ್ಯವು ಮತ್ತೊಂದು ಸರ್ವರ್‌ನಲ್ಲಿ ಸಾಮಾನ್ಯವಾಗಬಹುದು.

netstat -n -p | grep SYN_REC | ವಿಂಗಡಿಸಿ -ಯು

ಭಾಗಿಯಾಗಿರುವವರ ಎಲ್ಲಾ ಐಪಿ ವಿಳಾಸಗಳ ಪಟ್ಟಿಯನ್ನು ಮಾಡಿ.

netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{print $ 1}'

SYN_REC ಸಂಪರ್ಕ ಸ್ಥಿತಿಯನ್ನು ಕಳುಹಿಸುತ್ತಿರುವ ನೋಡ್‌ನ ಎಲ್ಲಾ ಅನನ್ಯ IP ವಿಳಾಸಗಳನ್ನು ಪಟ್ಟಿ ಮಾಡಿ.

netstat -ntu | awk '{print $ 5}' | cut -d: -f1 | ವಿಂಗಡಿಸಿ | uniq -c | ವಿಂಗಡಿಸಿ -ಎನ್

ನೀವು ಸರ್ವರ್‌ಗೆ ಮಾಡುವ ಪ್ರತಿ ಐಪಿ ವಿಳಾಸದಿಂದ ಸಂಪರ್ಕಗಳ ಸಂಖ್ಯೆಯನ್ನು ಲೆಕ್ಕಹಾಕಲು ಮತ್ತು ಎಣಿಸಲು ನೆಟ್‌ಸ್ಟಾಟ್ ಆಜ್ಞೆಯನ್ನು ಬಳಸಿ.

netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | ವಿಂಗಡಿಸಿ | uniq -c | ವಿಂಗಡಿಸಿ -ಎನ್

ಟಿಸಿಪಿ ಅಥವಾ ಯುಡಿಪಿ ಪ್ರೋಟೋಕಾಲ್ ಬಳಸಿ ಸರ್ವರ್‌ಗೆ ಸಂಪರ್ಕಿಸುವ ಐಪಿ ವಿಳಾಸಗಳ ಸಂಖ್ಯೆ.

netstat -ntu | grep ESTAB | awk '{print $ 5}' | cut -d: -f1 | ವಿಂಗಡಿಸಿ | uniq -c | ವಿಂಗಡಿಸಿ -ಎನ್ಆರ್

ಎಲ್ಲಾ ಸಂಪರ್ಕಗಳಿಗೆ ಬದಲಾಗಿ ಸ್ಥಾಪಿಸಲಾಗಿದೆ ಎಂದು ಗುರುತಿಸಲಾದ ಸಂಪರ್ಕಗಳನ್ನು ಪರಿಶೀಲಿಸಿ, ಮತ್ತು ಪ್ರತಿ ಐಪಿಗೆ ಸಂಪರ್ಕಗಳನ್ನು ತೋರಿಸಿ.

netstat -plan | grep: 80 | awk {'print $ 5' cut | cut -d: -f 1 | sort | uniq -c | sort -nk 1

ಐಪಿ ವಿಳಾಸಗಳ ಪ್ರದರ್ಶನ ಮತ್ತು ಪಟ್ಟಿ ಮತ್ತು ಸರ್ವರ್‌ನಲ್ಲಿ ಪೋರ್ಟ್ 80 ಗೆ ಸಂಪರ್ಕಿಸುವ ಅವುಗಳ ಸಂಪರ್ಕಗಳ ಸಂಖ್ಯೆ. ಪೋರ್ಟ್ 80 ಅನ್ನು ಮುಖ್ಯವಾಗಿ ವೆಬ್ ವಿನಂತಿಗಳಿಗಾಗಿ ಎಚ್‌ಟಿಟಿಪಿ ಬಳಸುತ್ತದೆ.

ಡಾಸ್ ದಾಳಿಯನ್ನು ತಗ್ಗಿಸುವುದು ಹೇಗೆ

ಸರ್ವರ್ ಆಕ್ರಮಣ ಮಾಡುತ್ತಿರುವ ಐಪಿಯನ್ನು ನೀವು ಕಂಡುಕೊಂಡ ನಂತರ ನಿಮ್ಮ ಸರ್ವರ್‌ಗೆ ಅವರ ಸಂಪರ್ಕವನ್ನು ನಿರ್ಬಂಧಿಸಲು ನೀವು ಈ ಕೆಳಗಿನ ಆಜ್ಞೆಗಳನ್ನು ಬಳಸಬಹುದು:

iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT

ನೆಟ್‌ಸ್ಟಾಟ್‌ನೊಂದಿಗೆ ಕಂಡುಬಂದ IP ವಿಳಾಸಗಳೊಂದಿಗೆ ನೀವು $ IPADRESS ಅನ್ನು ಬದಲಾಯಿಸಬೇಕಾಗಿದೆ ಎಂಬುದನ್ನು ಗಮನಿಸಿ.

ಮೇಲಿನ ಆಜ್ಞೆಯನ್ನು ಹಾರಿಸಿದ ನಂತರ, ನಿಮ್ಮ ಸಿಸ್ಟಮ್ ಅನ್ನು ಸ್ವಚ್ up ಗೊಳಿಸಲು ಎಲ್ಲಾ httpd ಸಂಪರ್ಕಗಳನ್ನು ಕೊಂದು ನಂತರ ಈ ಕೆಳಗಿನ ಆಜ್ಞೆಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಅದನ್ನು ಮರುಪ್ರಾರಂಭಿಸಿ:

ಕಿಲ್ಲಾಲ್ -ಕಿಲ್ httpd

ಸೇವೆ httpd start # Red Hat ವ್ಯವಸ್ಥೆಗಳಿಗಾಗಿ / etc / init / d / apache2 restart # ಡೆಬಿಯನ್ ವ್ಯವಸ್ಥೆಗಳಿಗಾಗಿ

ಮೂಲ: ಲಿನಕ್ಸೇರಿಯಾ