„NetStat“: DDoS atakų aptikimo patarimai

Radau labai įdomų straipsnį „Linuxaria“ kaip nustatyti, ar mūsų serveris yra atakuojamas DDoS (Paskirstytas paslaugų atsisakymas), Arba kas yra tas pats, Paslaugų atsisakymo ataka.

„NetStat“, kad išvengtumėte DDoS atakų

Šio tipo atakos yra gana dažnos ir gali būti priežastis, kodėl mūsų serveriai yra šiek tiek lėti (nors tai gali būti ir 8 lygio problema) ir niekada neskauda įspėti. Norėdami tai padaryti, galite naudoti įrankį netstat, kuris leidžia mums pamatyti tinklo ryšius, maršrutų lenteles, sąsajos statistiką ir kitas dalykų serijas.

„NetStat“ pavyzdžiai

netstat -na

Šiame ekrane bus rodomi visi aktyvūs interneto ryšiai serveryje ir tik užmegzti ryšiai.

netstat -an | grep: 80 | rūšiuoti

Rodyti tik aktyvius interneto ryšius su 80 prievado serveriu, kuris yra http prievadas, ir rūšiuoti rezultatus. Naudinga aptikti vieną potvynį (potvynis), todėl leidžia atpažinti daugybę ryšių, gaunamų iš IP adreso.

netstat -n -p | grep SYN_REC | wc -l

Ši komanda yra naudinga norint sužinoti, kiek aktyvių SYNC_REC yra serveryje. Skaičius turėtų būti gana mažas, pageidautina mažiau nei 5. Atmetimo iš tarnybos atakų ar pašto bombų atveju skaičius gali būti gana didelis. Tačiau reikšmė visada priklauso nuo sistemos, todėl didelė reikšmė kitame serveryje gali būti įprasta.

netstat -n -p | grep SYN_REC | rūšiuoti -u

Sudarykite visų dalyvaujančių asmenų IP adresų sąrašą.

netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{print $ 1}'

Išvardinkite visus unikalius mazgo, siunčiančio SYN_REC ryšio būseną, IP adresus.

netstat -ntu | awk '{print $ 5}' | iškirpti -d: -f1 | rūšiuoti | uniq -c | rūšiuoti -n

Naudokite komandą netstat apskaičiuoti ir suskaičiuoti ryšių skaičių iš kiekvieno IP adreso, kurį atliekate į serverį.

netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | iškirpti -d: -f1 | rūšiuoti | uniq -c | rūšiuoti -n

IP adresų, kurie prisijungia prie serverio naudodami TCP arba UDP protokolą, skaičius.

netstat -ntu | grep ESTAB | awk '{print $ 5}' | iškirpti -d: -f1 | rūšiuoti | uniq -c | rūšiuoti -nr

Vietoj visų jungčių patikrinkite ryšius, pažymėtus ESTABLISHED, ir parodykite kiekvieno IP ryšius.

netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | rūšiuoti | uniq -c | rūšiuoti -nk 1

Rodykite ir nurodykite IP adresus bei jų jungčių, prisijungiančių prie 80 prievado serveryje, skaičių. 80 prievadą pirmiausia naudoja HTTP žiniatinklio užklausoms.

Kaip sušvelninti DOS ataką

Suradę IP, kurį atakuoja serveris, galite naudoti šias komandas, kad užblokuotumėte jų ryšį su serveriu:

„iptables“ -A INPUT 1 -s $ IPADRESS -j DROP / REJECT

Atminkite, kad turite pakeisti $ IPADRESS IP adresais, kurie buvo rasti netstat.

Sušaudę aukščiau nurodytą komandą, NUUVOKITE visus „httpd“ ryšius, kad išvalytumėte sistemą ir vėliau ją paleistumėte iš naujo naudodami šias komandas:

killall -KILL httpd
paslauga httpd start # Red Hat sistemoms / etc / init / d / apache2 restart # Debian sistemoms

Fuente: „Linuxaria“


7 komentarai, palikite savo

Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Atsakingas už duomenis: Miguel Ángel Gatón
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.

  1.   James_Che sakė

    „Mozilla“ yra priversta pridėti DRM prie „Firefox“ vaizdo įrašų
    http://alt1040.com/2014/05/mozilla-drm-firefox
    Žinau, kad tai neturi nieko bendro su įrašu. Bet norėčiau sužinoti, ką tu galvoji apie tai. Gerai tai, kad jį galima išjungti.

    1.    gyvas sakė

      Žmogus, nes diskusijos yra forumas.

      1.    MSX sakė

        Jūs, „iproute2“ vyras, išbandykite „ss“ ...

    2.    nanotechnologijų sakė

      Sutinku su Elavu, forumas yra kažkas ... Aš komentaro neištrinsiu, bet, prašau, naudokitės kiekvienam dalykui skirtomis erdvėmis.

  2.   Grafinė linija sakė

    Vietoj grep, egrep
    netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | iškirpti -d: -f1 | rūšiuoti | uniq -c | rūšiuoti -n

    iki

    netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | iškirpti -d: -f1 | rūšiuoti | uniq -c | rūšiuoti -n

  3.   JuanSRC sakė

    Tai bus skirtas projektui, kurį ketinu įgyvendinti ten, kur yra daug galimybių būti DDoS tikslais

  4.   Raiola valdo, o ne panda sakė

    Labai ačiū už informaciją, pastaruoju metu konkurencija šia tema yra didelė.