NetStat: Petua untuk mengesan serangan DDoS

Saya telah menemui artikel yang sangat menarik di linuxaria mengenai cara mengesan jika Pelayan kita diserang DDoS (Penolakan Perkhidmatan yang diedarkan), Atau apa yang sama, Serangan Penolakan Perkhidmatan.

NetStat untuk mengelakkan serangan DDoS

Jenis serangan ini agak biasa dan mungkin menjadi sebab mengapa pelayan kami agak lambat (walaupun ia juga boleh menjadi masalah Layer 8) dan tidak ada salahnya untuk diperingatkan. Untuk melakukan ini, anda boleh menggunakan alat tersebut netstat, yang membolehkan kita melihat sambungan rangkaian, jadual laluan, statistik antara muka dan rangkaian perkara lain.

Contoh NetStat

netstat -na

Skrin ini akan merangkumi semua sambungan Internet aktif di pelayan dan hanya sambungan yang dibuat.

netstat -an | grep: 80 | mengurut

Tunjukkan hanya sambungan Internet aktif ke pelayan di port 80, yang merupakan port http, dan susun hasilnya. Berguna dalam mengesan banjir tunggal (banjir) sehingga memungkinkan untuk mengenali banyak sambungan yang berasal dari alamat IP.

netstat -n -p | grep SYN_REC | wc -l

Perintah ini berguna untuk mengetahui berapa banyak SYNC_REC aktif yang berlaku di pelayan. Jumlahnya mestilah rendah, lebih disukai kurang dari 5. Dalam kejadian serangan penolakan perkhidmatan atau pengeboman mel, jumlahnya agak tinggi. Walau bagaimanapun, nilainya selalu bergantung pada sistem, jadi nilai tinggi mungkin normal pada pelayan lain.

netstat -n -p | grep SYN_REC | urutkan -u

Buat senarai semua alamat IP mereka yang terlibat.

netstat -n -p | grep SYN_REC | awk '{cetak $ 5}' | awk -F: '{cetak $ 1}'

Senaraikan semua alamat IP unik nod yang menghantar status sambungan SYN_REC.

netstat -ntu | awk '{cetak $ 5}' | potong -d: -f1 | urutkan | uniq -c | urutkan -n

Gunakan arahan netstat untuk mengira dan mengira bilangan sambungan dari setiap alamat IP yang anda buat ke pelayan.

netstat -anp | grep 'tcp | udp' | awk '{cetak $ 5}' | potong -d: -f1 | urutkan | uniq -c | urutkan -n

Bilangan alamat IP yang menyambung ke pelayan menggunakan protokol TCP atau UDP.

netstat -ntu | grep ESTAB | awk '{cetak $ 5}' | potong -d: -f1 | urutkan | uniq -c | urutkan -nr

Periksa sambungan bertanda ESTABLISHED dan bukannya semua sambungan, dan tunjukkan sambungan untuk setiap IP.

netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1

Memaparkan dan senarai alamat IP dan bilangan sambungannya yang menghubungkan ke port 80 di pelayan. Port 80 digunakan terutamanya oleh HTTP untuk permintaan Web.

Cara mengurangkan serangan DOS

Setelah anda menemui IP yang diserang pelayan, anda boleh menggunakan perintah berikut untuk menyekat sambungan mereka ke pelayan anda:

iptables -A INPUT 1 -s $ IPADRESS -j TURUN / REJEK

Perhatikan bahawa anda harus mengganti $ IPADRESS dengan alamat IP yang telah dijumpai dengan netstat.

Setelah mengaktifkan perintah di atas, BUNUH semua sambungan httpd untuk membersihkan sistem anda dan mulakan semula kemudian menggunakan arahan berikut:

killall -MEMBUNUH httpd
perkhidmatan httpd mula # Untuk sistem Red Hat / etc / init / d / apache2 mulakan semula # Untuk sistem Debian

Fuente: linuxaria


7 komen, tinggalkan komen anda

Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.

  1.   James_Che kata

    Mozilla terpaksa menambahkan DRM ke video di Firefox
    http://alt1040.com/2014/05/mozilla-drm-firefox
    Saya tahu ia tidak ada kaitan dengan jawatan itu. Tetapi saya ingin tahu apa pendapat anda mengenai perkara ini. Perkara yang baik ialah ia boleh dilumpuhkan.

    1.    meriah kata

      Man, untuk perbahasan adalah forum.

      1.    MSX kata

        Anda yang merupakan lelaki iproute2, cubalah ...

    2.    nano kata

      Saya setuju dengan Elav, forum itu adalah untuk sesuatu ... Saya tidak akan memadamkan komen tetapi, tolong, gunakan ruang yang disediakan untuk setiap perkara.

  2.   Garisan grafik kata

    Bukannya grep, egrep
    netstat -anp | grep 'tcp | udp' | awk '{cetak $ 5}' | potong -d: -f1 | urutkan | uniq -c | urutkan -n

    oleh

    netstat -anp | egrep 'tcp | udp' | awk '{cetak $ 5}' | potong -d: -f1 | urutkan | uniq -c | urutkan -n

  3.   JuanSRC kata

    Ini akan dibuat untuk projek yang akan saya siapkan di mana terdapat banyak kemungkinan menjadi sasaran DDoS

  4.   Raiola memerintah dan bukan panda kata

    Terima kasih banyak atas maklumatnya, akhir-akhir ini persaingan sangat berat.