NetStat: Torohevitra hamantarana ny fanafihana DDoS

Nahita lahatsoratra iray tena mahaliana aho tamin'ny linuxaria amin'ny fomba hamantarana raha manafika ny Server anay DDoS (Fanilihana ny asa fanompoana nozaraina), Na inona no mitovy, Fanafihana ny fandavana ny serivisy.

Ity karazana fanafihana ity dia mahazatra loatra ary mety ho ny antony mahatonga ny mpizahatany ho somary miadana (na dia mety ho olana Layer 8 aza izany) ary tsy maharary ny mampitandrina mialoha. Mba hanaovana izany dia azonao atao ny mampiasa ilay fitaovana netstat, izay ahafahantsika mahita ny fifandraisana amin'ny tamba-jotra, ny latabatra amin'ny zotra, ny statistikan'ny interface sy ny zavatra hafa.

Ohatra NetStat

netstat -na

Ity efijery ity dia hampiditra ny fifandraisana Internet mavitrika amin'ny mpizara ary ny fifandraisana efa niorina ihany.

netstat -an | grep: 80 | mandahatra

Aza mampiseho afa-tsy fifandraisana Internet miasa amin'ny server amin'ny port 80, izay port http, ary alamino ny valiny. Ilaina amin'ny fitadiavana tondra-drano tokana (tondra-drano) ka mamela hahafantatra ireo fifandraisana maro avy amin'ny adiresy IP.

netstat -n -p | grep SYN_REC | wc -l

Ilaina ity baiko ity raha te hahalala hoe firy ireo sync_REC miasa ao amin'ny mpizara. Ny isa dia tokony ho ambany kely, tsara kokoa noho ny 5. Amin'ny tranga fandavana ny fanafihana serivisy na baomba mailaka, dia mety ho avo dia avo ny isa. Na izany aza, miankina amin'ny rafitra foana ny sandany, noho izany ny sanda ambony dia mety ho normal amin'ny mpizara hafa.

netstat -n -p | grep SYN_REC | sort -u

Manaova lisitry ny adiresy IP rehetra an'ireo voakasik'izany.

netstat -n -p | grep SYN_REC | awk '{pirinty $ 5}' | awk -F: '{pirinty $ 1}'

Tanisao daholo ny adiresy IP tsy manam-paharoa an'ny node izay mandefa ny status fifandraisana SYN_REC.

netstat -ntu | awk '{pirinty $ 5}' | tapaka -d: -f1 | sort | uniq -c | sort -n

Ampiasao ny baiko netstat hikajiana sy hanisa ny isan'ny fifandraisana isaky ny adiresy IP izay ataonao amin'ny mpizara.

netstat -anp | grep 'tcp | udp' | awk '{pirinty $ 5}' | tapaka -d: -f1 | sort | uniq -c | sort -n

Isan'ny adiresy IP izay mifandray amin'ny mpizara mampiasa ny TCP na UDP protocol.

netstat -ntu | grep ESTAB | awk '{pirinty $ 5}' | tapaka -d: -f1 | sort | uniq -c | sort -nr

Zahao ireo fifandraisana efa voamarika ESTABLISHED fa tsy ny fifandraisana rehetra, ary asehoy ny fifandraisana amin'ireo IP tsirairay.

netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1

Fampisehoana sy lisitr'ireo adiresy IP sy ny isan'ny fifandraisana izay mifandray amin'ny seranan-tsambo 80 amin'ny mpizara. Port 80 dia ampiasain'ny HTTP voalohany indrindra ho an'ny fangatahana Internet.

Ahoana ny fanalefahana ny fanafihana DOS

Raha vantany vao hitanao ny IP izay manafika ny mpizara dia azonao atao ny mampiasa ireto baiko manaraka ireto hanakanana ny fifandraisan'izy ireo amin'ny mpizara anao:

iptables -A INPUT 1 -s $ IPADRESS -j DROPA / HANDAORA

Mariho fa tsy maintsy soloinao $ IPADRESS ny adiresy IP izay hita amin'ny netstat.

Aorian'ny fandroahana ny baiko etsy ambony, VONOY ny fifandraisana httpd rehetra hanadio ny rafitrao ary hamerina azy io avy eo amin'ny fampiasana ireto baiko manaraka ireto:

killall -MAMONO httpd

serivisy httpd manomboka # Ho an'ny rafitra Red Hat / sns / init / d / apache2 hamerina ny # Ho an'ny rafitra Debian

loharanom-baovao: linuxaria