NetStat: padomi DDoS uzbrukumu noteikšanai

Esmu atradis ļoti interesantu rakstu Linuxārija par to, kā noteikt, vai mūsu serverim ir uzbrukums DDoS (Izplatīts pakalpojumu atteikums), Vai kas ir tas pats, Pakalpojumu atteikuma uzbrukums.

NetStat, lai novērstu DDoS uzbrukumus

Šāda veida uzbrukumi ir diezgan izplatīti, un tas var būt iemesls, kāpēc mūsu serveri darbojas nedaudz lēni (lai gan tā var būt arī 8. slāņa problēma), un nekad nav sāpīgi brīdināt. Lai to izdarītu, varat izmantot rīku netstat, kas ļauj mums redzēt tīkla savienojumus, maršrutu tabulas, saskarnes statistiku un citas lietas.

NetStat piemēri

netstat -na

Šajā ekrānā tiks iekļauti visi aktīvie interneta savienojumi serverī un tikai izveidotie savienojumi.

netstat -an | grep: 80 | kārtot

Rādīt tikai aktīvos interneta savienojumus ar 80. porta serveri, kas ir http ports, un kārtojiet rezultātus. Noderīgi, lai atklātu vienu plūdu (plūdi), tāpēc tas ļauj atpazīt daudzus savienojumus, kas nāk no IP adreses.

netstat -n -p | grep SYN_REC | wc -l

Šī komanda ir noderīga, lai uzzinātu, cik aktīvu SYNC_REC notiek serverī. Skaitlim jābūt diezgan zemam, vēlams mazākam par 5. Pakalpojumu atteikuma uzbrukumu vai pasta bumbu gadījumos to skaits var būt diezgan liels. Tomēr vērtība vienmēr ir atkarīga no sistēmas, tāpēc augsta vērtība var būt normāla citā serverī.

netstat -n -p | grep SYN_REC | kārtot -u

Sastādiet visu iesaistīto personu IP adreses.

netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{print $ 1}'

Uzskaitiet visas tā mezgla unikālās IP adreses, kas nosūta SYN_REC savienojuma statusu.

netstat -ntu | awk '{print $ 5}' | griezums -d: -f1 | kārtot | uniq -c | kārtot -n

Izmantojiet komandu netstat, lai aprēķinātu un uzskaitītu savienojumu skaitu no katras IP adreses, kuru izveidojat serverim.

netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | griezums -d: -f1 | kārtot | uniq -c | kārtot -n

To IP adrešu skaits, kuras izveido savienojumu ar serveri, izmantojot TCP vai UDP protokolu.

netstat -ntu | grep ESTAB | awk '{print $ 5}' | griezums -d: -f1 | kārtot | uniq -c | kārtot -nr

Visu savienojumu vietā pārbaudiet savienojumus ar atzīmi ESTABLISHED un parādiet savienojumus katram IP.

netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | kārtot | uniq -c | kārtot -nk 1

Parādiet un norādiet IP adreses un to savienojumu skaitu, kas izveido savienojumu ar servera 80 portu. 80 portu galvenokārt izmanto HTTP tīmekļa pieprasījumiem.

Kā mazināt DOS uzbrukumu

Kad esat atradis IP, kuram serveris uzbrūk, varat izmantot šādas komandas, lai bloķētu to savienojumu ar serveri:

iptables -A IEVADE 1 -s $ IPADRESS -j PILNS / Noraidīt

Ņemiet vērā, ka $ IPADRESS ir jāaizstāj ar atrastajām IP adresēm ar netstat.

Pēc iepriekš minētās komandas atlaišanas nogaliniet visus httpd savienojumus, lai attīrītu sistēmu un vēlāk restartētu to, izmantojot šādas komandas:

killall -Nogalināt httpd
pakalpojums httpd start # Red Hat sistēmām / etc / init / d / apache2 restart # Debian sistēmām

Fuente: Linuxārija


Raksta saturs atbilst mūsu principiem redakcijas ētika. Lai ziņotu par kļūdu, noklikšķiniet uz šeit.

7 komentāri, atstājiet savus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.

  1.   Džeimss_Che teica

    Mozilla ir spiesta pievienot DRM videoklipiem Firefox
    http://alt1040.com/2014/05/mozilla-drm-firefox
    Es zinu, ka tam nav nekāda sakara ar amatu. Bet es gribētu uzzināt, ko jūs domājat par šo. Laba lieta ir tā, ka to var atspējot.

    1.    elav teica

      Cilvēks, debatēm ir forums.

      1.    MSX teica

        Jūs, kas esat iproute2 vīrietis, izmēģiniet “ss” ...

    2.    nano teica

      Es piekrītu Elavam, forums ir par kaut ko ... Es komentāru neizdzēsīšu, bet, lūdzu, izmantojiet katrai lietai paredzētās vietas.

  2.   Grafiskā līnija teica

    Grep vietā egrep
    netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | griezums -d: -f1 | kārtot | uniq -c | kārtot -n

    līdz

    netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | griezums -d: -f1 | kārtot | uniq -c | kārtot -n

  3.   JuanSRC teica

    Tas būs projektam, kuru es izveidošu tur, kur ir daudz iespēju būt DDoS mērķiem

  4.   Raiola valda nevis panda teica

    Liels paldies par informāciju, pēdējā laikā konkurence šajā jautājumā ir liela.