NetStat: Tipps fir DDoS Attacken z'entdecken

Ech hunn e ganz interessanten Artikel fonnt am linuxaria op wéi ze entdecken ob eise Server ënner Attack ass drun deelhuelen (Distribuerte Negatioun vum Service), Oder wat ass datselwecht, Negatioun vu Servicer Attack.

Dës Zort Attack ass zimlech heefeg a kann de Grond sinn firwat eis Serveren e bësse lues sinn (och wann et och e Layer 8 Problem ka sinn) an et deet mir ni wéi fir gewarnt ze ginn. Fir dëst ze maachen, kënnt Dir de Tool benotzen Netstat, wat eis erlaabt Netzwierkverbindungen ze gesinn, Routetabellen, Interface Statistiken an aner Serie vu Saachen.

NetStat Beispiller

netstat -na

Dëse Bildschierm enthält all aktiv Internetverbindungen um Server an nëmmen etabléiert Verbindungen.

netstat -an | grep: 80 | sortéieren

Weist nëmmen aktiv Internetverbindunge mam Server um Hafen 80, wat den http Hafen ass, a sortéiert d'Resultater. Nëtzlech fir eng eenzeg Iwwerschwemmung z'entdecken (Iwwerschwemmung) sou datt et vill Verbindunge vun enger IP Adress erkennt.

netstat -n -p | grep SYN_REC | wc -l

Dëse Kommando ass nëtzlech fir ze wëssen wéi vill aktiv SYNC_RECs um Server optrieden. D'Zuel soll relativ niddereg sinn, am beschten manner wéi 5. Bei Tëschefäll vum Negatioun vu Serviceattacken oder Mailbommen, kann d'Zuel zimlech héich sinn. Wéi och ëmmer, de Wäert ass ëmmer vum System ofhängeg, sou datt en héije Wäert op engem anere Server normal ka sinn.

netstat -n -p | grep SYN_REC | sortéieren -u

Maacht eng Lëscht vun allen IP Adressen vun de Betraffenen.

netstat -n -p | grep SYN_REC | awk '{Drécken $ 5}' | awk -F: '{Dréckt $ 1}'

Lëscht all eenzegaarteg IP Adressen vum Knuet, déi de SYN_REC Verbindungsstatus verschécken.

netstat -ntu | awk '{Drécken $ 5}' | schneiden -d: -f1 | sortéieren | uniq -c | sortéieren -n

Benotzt de Kommando netstat fir d'Zuel vun de Verbindungen vun all IP Adress ze berechnen an ze zielen déi Dir mam Server maacht.

netstat -anp | grep 'tcp | udp' | awk '{Drécken $ 5}' | schneiden -d: -f1 | sortéieren | uniq -c | sortéieren -n

Zuel vun IP Adressen déi mam Server mam TCP oder UDP Protokoll verbonne sinn.

netstat -ntu | grep ESTAB | awk '{Drécken $ 5}' | schneiden -d: -f1 | sortéieren | uniq -c | sortéieren -nr

Kuckt d'Verbindungen markéiert ESTABLISHED anstatt all Verbindungen, a weist d'Verbindunge fir all IP.

netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sortéieren | uniq -c | sortéieren -nk 1

Weist a Lëscht vun IP Adressen an hir Unzuel u Verbindungen déi mam Hafen 80 um Server verbannen. Port 80 gëtt haaptsächlech vun HTTP fir Web Ufroe benotzt.

Wéi en DOS Attack ze reduzéieren

Wann Dir d'IP fonnt hutt datt de Server attackéiert kënnt Dir déi folgend Kommandoen benotze fir hir Verbindung mat Ärem Server ze blockéieren:

iptables -A INGANG 1 -s $ IPADRESS -j DROP / REJECT

Bedenkt datt Dir $ IPADRESS mat den IP Adressen ersetze musst déi mat netstat fonnt goufen.

Nodeems Dir de uewe genannte Kommando gefeiert hutt, KILL all httpd Verbindungen fir Äre System ze botzen a se spéider neu ze starten mat de folgende Kommandoen:

killall -KILL httpd

Service httpd starten # Fir Red Hat Systemer / etc / init / d / apache2 neu starten # Fir Debian Systemer

Source: linuxaria