Најдов многу интересна статија во Линуксарија за тоа како да откриеме дали нашиот сервер е под напад DDoS (Дистрибуирано одбивање на услугата), Или што е исто, Напад на услуги за напад.
Овој вид на напад е доста чест и може да биде причина зошто нашите сервери се нешто бавни (иако може да биде и проблем со слој од 8) и никогаш не боли да се предупредува. За да го направите ова, можете да ја користите алатката netstat, што ни овозможува да ги видиме мрежните врски, табелите за маршрути, статистиката на интерфејсот и другите серии на работи.
Примери на NetStat
нетстат -на
Овој екран ќе ги вклучува сите активни Интернет врски на серверот и само воспоставените врски.
нетстат -ан | грп: 80 | сортирај
Покажете само активни Интернет врски со серверот на портата 80, што е http порта, и сортирајте ги резултатите. Корисно при откривање на една поплава (поплава) така што овозможува препознавање на многу врски што доаѓаат од IP адреса.
netstat -n -p | грп SYN_REC | wc -l
Оваа команда е корисна за да знаете колку активни SYNC_REC се појавуваат на серверот. Бројот треба да биде прилично низок, по можност помал од 5. Во инциденти со негирање на службени напади или бомбашки напади по пошта, бројот може да биде доста голем. Сепак, вредноста е секогаш зависна од системот, така што висока вредност може да биде нормална на друг сервер.
нетстат -н -п | grep SYN_REC | сортирај -у
Направете список со сите IP-адреси на инволвираните.
нетстат -н -п | grep SYN_REC | awk '{print $ 5}' | awk -F: '{печати $ 1}'
Наведете ги сите уникатни IP адреси на јазолот што го испраќаат статусот на врската SYN_REC.
нетстат -нту | awk '{print $ 5}' | исечете -d: -f1 | сортирање | уник -ц | сортирање -н
Користете ја командата netstat за да пресметате и броите број на врски од секоја IP адреса што ќе ја направите со серверот.
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | исечете -d: -f1 | сортирање | уник -ц | сортирање -н
Број на IP адреси што се поврзуваат со серверот користејќи протокол TCP или UDP.
нетстат -нту | grep ESTAB | awk '{print $ 5}' | исечете -d: -f1 | сортирање | уник -ц | сортирај -бр
Проверете ги врските означени како ОСНОВАНИ, наместо сите врски, и прикажете ги врските за секоја IP.
netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | сортирање | uniq -c | сортирање -nk 1
Приказ и список на IP адреси и нивниот број на врски што се поврзуваат со портата 80 на серверот. Port 80 се користи првенствено од HTTP за веб-барања.
Како да се ублажи нападот на ДОС
Откако ќе ја пронајдете IP-то дека серверот ја напаѓа, можете да ги користите следниве команди за да ја блокирате нивната врска со вашиот сервер:
iptables -ВЛЕЗ 1 - s $ IPADRESS -j ОПААЕ / ОДБИВА
Забележете дека треба да ја замените $ IPADRESS со IP-адресите што се пронајдени со netstat.
Откако ќе ја активирате горенаведената команда, УБИЈТЕ ги сите httpd врски за да го исчистите вашиот систем и да го рестартирате подоцна користејќи ги следниве команди:
killall -УБИЈТЕ httpd
услуга httpd start # За системи на Red Hat / etc / init / d / apache2 рестартирај # За системите на Debian
Fuente: Линуксарија
7 коментари, оставете ги вашите
Mozilla е принудена да додава DRM на видеа во Firefox
http://alt1040.com/2014/05/mozilla-drm-firefox
Знам дека нема никаква врска со објавата. Но, јас би сакал да знам што мислиш за ова. Добрата работа е што може да се оневозможи.
Човеку, за дебати е форум.
Вие што сте iproute2 човек, пробајте „s“ ...
Се согласувам со Елав, форумот е за нешто ... Јас нема да го избришам коментарот, но, молам, мора да ги искористите просторите предвидени за секоја работа.
Наместо grep, egrep
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | исечете -d: -f1 | сортирање | уник -ц | сортирање -н
од
netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | исечете -d: -f1 | сортирање | уник -ц | сортирање -н
Ова ќе биде за проект што ќе го поставам таму каде што има многу можности да бидат цели на DDoS
Ви благодарам многу за информациите, во последно време конкуренцијата е тешка по оваа тема.