Ik heb een heel interessant artikel gevonden in linuxaria over hoe te detecteren of onze server wordt aangevallen DDoS (Gedistribueerde Denial of Service)of wat hetzelfde is, Denial of Services-aanval.
Dit type aanval komt vrij vaak voor en kan de reden zijn waarom onze servers ietwat traag zijn (hoewel het ook een Layer 8-probleem kan zijn) en het kan nooit kwaad om vooraf te worden gewaarschuwd. Om dit te doen, kunt u de tool gebruiken netstat, waarmee we netwerkverbindingen, routetabellen, interfacestatistieken en andere reeksen dingen kunnen zien.
NetStat-voorbeelden
netstat -na
Dit scherm bevat alle actieve internetverbindingen op de server en alleen tot stand gebrachte verbindingen.
netstat -an | grep: 80 | soort
Toon alleen actieve internetverbindingen met de server op poort 80, de http-poort, en sorteer de resultaten. Handig bij het detecteren van een enkele overstroming (overstroming) zodat het veel verbindingen kan herkennen die van een IP-adres komen.
netstat -n -p | grep SYN_REC | wc -l
Dit commando is handig om te weten hoeveel actieve SYNC_REC's er op de server voorkomen. Het aantal moet vrij laag zijn, bij voorkeur minder dan 5. Bij incidenten met Denial of Service-aanvallen of postbommen kan het aantal behoorlijk hoog zijn. De waarde is echter altijd systeemafhankelijk, dus een hoge waarde kan normaal zijn op een andere server.
netstat -n -p | grep SYN_REC | sorteer -u
Maak een lijst van alle IP-adressen van de betrokkenen.
netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{print $ 1}'
Maak een lijst van alle unieke IP-adressen van het knooppunt dat de SYN_REC-verbindingsstatus verzendt.
netstat -ntu | awk '{print $ 5}' | knippen -d: -f1 | sorteren | uniq -c | sorteren -n
Gebruik de opdracht netstat om het aantal verbindingen van elk IP-adres dat u met de server maakt, te berekenen en te tellen.
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | knippen -d: -f1 | sorteren | uniq -c | sorteren -n
Aantal IP-adressen dat verbinding maakt met de server via het TCP- of UDP-protocol.
netstat -ntu | grep ESTAB | awk '{print $ 5}' | knippen -d: -f1 | sorteren | uniq -c | sorteer -nr
Controleer verbindingen gemarkeerd met ESTABLISHED in plaats van alle verbindingen, en toon verbindingen voor elk IP-adres.
netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1
Weergave en lijst met IP-adressen en hun aantal verbindingen die verbinding maken met poort 80 op de server. Poort 80 wordt voornamelijk gebruikt door HTTP voor webverzoeken.
Hoe een DOS-aanval te beperken
Zodra u het IP-adres heeft gevonden dat de server aanvalt, kunt u de volgende opdrachten gebruiken om hun verbinding met uw server te blokkeren:
iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT
Merk op dat u $ IPADRESS moet vervangen door de IP-adressen die zijn gevonden met netstat.
Nadat je het bovenstaande commando hebt geactiveerd, KIL je alle httpd-verbindingen om je systeem op te schonen en start je het later opnieuw met de volgende commando's:
killall -KILLhttpd
service httpd start # Voor Red Hat-systemen / etc / init / d / apache2 herstart # Voor Debian-systemen
bron: linuxaria
Mozilla wordt gedwongen om DRM toe te voegen aan video's in Firefox
http://alt1040.com/2014/05/mozilla-drm-firefox
Ik weet dat het niets met de post te maken heeft. Maar ik zou graag willen weten wat u hiervan vindt. Het goede is dat het kan worden uitgeschakeld.
Man, want debatten is forum.
Jij die een iproute2-man bent, probeer 'ss' ...
Ik ben het met Elav eens, het forum is voor iets ... Ik zal de opmerking niet verwijderen, maar maak alsjeblieft gebruik van de ruimtes die voor elk ding zijn voorzien.
In plaats van grep, egrep
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | knippen -d: -f1 | sorteren | uniq -c | sorteren -n
door
netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | knippen -d: -f1 | sorteren | uniq -c | sorteren -n
Dit gaat voor een project dat ik ga opzetten waar er veel mogelijkheden zijn om DDoS-doelen te zijn
Heel erg bedankt voor de informatie, de laatste tijd is de concurrentie op dit gebied zwaar.