NetStat: Tips for å oppdage DDoS-angrep

Jeg har funnet en veldig interessant artikkel i Linuxaria om hvordan vi kan oppdage om serveren vår er under angrep DDoS (Nektet tilgang til tjenester), Eller hva er det samme, Denial of Services Attack.

NetStat for å forhindre DDoS-angrep

Denne typen angrep er ganske vanlig og kan være grunnen til at serverne våre er litt treg (selv om det også kan være et lag 8-problem), og det gjør aldri vondt å bli varslet. For å gjøre dette kan du bruke verktøyet netstat, som lar oss se nettverkstilkoblinger, rutetabeller, grensesnittstatistikk og andre serier av ting.

NetStat eksempler

netstat -na

Dette skjermbildet inkluderer alle aktive Internett-tilkoblinger på serveren og bare etablerte tilkoblinger.

netstat -an | grep: 80 | sortere

Vis bare aktive Internett-tilkoblinger til serveren på port 80, som er http-porten, og sorter resultatene. Nyttig til å oppdage en enkelt flom (flom) slik at du kan gjenkjenne mange tilkoblinger fra en IP-adresse.

netstat -n -p | grep SYN_REC | wc -l

Denne kommandoen er nyttig for å vite hvor mange aktive SYNC_REC-er som forekommer på serveren. Antallet skal være ganske lavt, helst mindre enn 5. I tilfeller av tjenestenektangrep eller postbomber kan antallet være ganske høyt. Verdien er imidlertid alltid systemavhengig, så en høy verdi kan være normal på en annen server.

netstat -n -p | grep SYN_REC | sorter -u

Lag en liste over alle IP-adressene til de involverte.

netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{skriv ut $ 1}'

Liste opp alle de unike IP-adressene til noden som sender statusen SYN_REC.

netstat -ntu | awk '{print $ 5}' | klipp -d: -f1 | sorter | uniq -c | sorter -n

Bruk kommandoen netstat til å beregne og telle antall tilkoblinger fra hver IP-adresse du lager til serveren.

netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | klipp -d: -f1 | sorter | uniq -c | sorter -n

Antall IP-adresser som kobles til serveren ved hjelp av TCP- eller UDP-protokollen.

netstat -ntu | grep ESTAB | awk '{print $ 5}' | klipp -d: -f1 | sorter | uniq -c | sorter -nr

Sjekk tilkoblingene merket ESTABLISHED i stedet for alle tilkoblinger, og vis tilkoblingene for hver IP.

netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1

Vis og liste over IP-adresser og antall tilkoblinger som kobles til port 80 på serveren. Port 80 brukes primært av HTTP for nettforespørsler.

Hvordan redusere et DOS-angrep

Når du har funnet IP-en som serveren angriper, kan du bruke følgende kommandoer for å blokkere forbindelsen til serveren din:

iptables -A INNGANG 1 -s $ IPADRESS -j DROP / REJECT

Merk at du må erstatte $ IPADRESS med IP-adressene som er funnet med netstat.

Etter å ha utløst kommandoen ovenfor, DREP alle httpd-tilkoblinger for å rydde opp i systemet og starte det på nytt med følgende kommandoer:

killall -DREP httpd
service httpd start # For Red Hat-systemer / etc / init / d / apache2 restart # For Debian-systemer

Fuente: Linuxaria


Innholdet i artikkelen følger våre prinsipper for redaksjonell etikk. Klikk på for å rapportere en feil her.

7 kommentarer, legg igjen dine

Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.

  1.   James_Che sa

    Mozilla er tvunget til å legge til DRM i videoer i Firefox
    http://alt1040.com/2014/05/mozilla-drm-firefox
    Jeg vet at det ikke har noe med innlegget å gjøre. Men jeg vil gjerne vite hva du synes om dette. Det gode er at det kan deaktiveres.

    1.    elav sa

      Mann, for debatter er forum.

      1.    MSX sa

        Du som er en iproute2 mann, prøv 'ss' ...

    2.    nano sa

      Jeg er enig med Elav, forumet er for noe ... Jeg vil ikke slette kommentaren, men vær så snill, benytt plassene som er gitt for hver ting.

  2.   Grafisk linje sa

    I stedet for grep, egrep
    netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | klipp -d: -f1 | sorter | uniq -c | sorter -n

    av

    netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | klipp -d: -f1 | sorter | uniq -c | sorter -n

  3.   JuanSRC sa

    Dette kommer til å være for et prosjekt som jeg skal sette opp der det er mange muligheter for å være DDoS-mål

  4.   Raiola hersker og ikke pandaen sa

    Tusen takk for informasjonen, i det siste er konkurransen tung om emnet.