Jeg har funnet en veldig interessant artikkel i linuxaria om hvordan vi kan oppdage om serveren vår er under angrep DDoS (Nektet tilgang til tjenester), Eller hva er det samme, Denial of Services Attack.
Denne typen angrep er ganske vanlig og kan være grunnen til at serverne våre er litt treg (selv om det også kan være et lag 8-problem), og det gjør aldri vondt å bli varslet. For å gjøre dette kan du bruke verktøyet netstat, som lar oss se nettverkstilkoblinger, rutetabeller, grensesnittstatistikk og andre serier av ting.
NetStat eksempler
netstat -na
Dette skjermbildet inkluderer alle aktive Internett-tilkoblinger på serveren og bare etablerte tilkoblinger.
netstat -an | grep: 80 | sortere
Vis bare aktive Internett-tilkoblinger til serveren på port 80, som er http-porten, og sorter resultatene. Nyttig til å oppdage en enkelt flom (flom) slik at du kan gjenkjenne mange tilkoblinger fra en IP-adresse.
netstat -n -p | grep SYN_REC | wc -l
Denne kommandoen er nyttig for å vite hvor mange aktive SYNC_REC-er som forekommer på serveren. Antallet skal være ganske lavt, helst mindre enn 5. I tilfeller av tjenestenektangrep eller postbomber kan antallet være ganske høyt. Verdien er imidlertid alltid systemavhengig, så en høy verdi kan være normal på en annen server.
netstat -n -p | grep SYN_REC | sorter -u
Lag en liste over alle IP-adressene til de involverte.
netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{skriv ut $ 1}'
Liste opp alle de unike IP-adressene til noden som sender statusen SYN_REC.
netstat -ntu | awk '{print $ 5}' | klipp -d: -f1 | sorter | uniq -c | sorter -n
Bruk kommandoen netstat til å beregne og telle antall tilkoblinger fra hver IP-adresse du lager til serveren.
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | klipp -d: -f1 | sorter | uniq -c | sorter -n
Antall IP-adresser som kobles til serveren ved hjelp av TCP- eller UDP-protokollen.
netstat -ntu | grep ESTAB | awk '{print $ 5}' | klipp -d: -f1 | sorter | uniq -c | sorter -nr
Sjekk tilkoblingene merket ESTABLISHED i stedet for alle tilkoblinger, og vis tilkoblingene for hver IP.
netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1
Vis og liste over IP-adresser og antall tilkoblinger som kobles til port 80 på serveren. Port 80 brukes primært av HTTP for nettforespørsler.
Hvordan redusere et DOS-angrep
Når du har funnet IP-en som serveren angriper, kan du bruke følgende kommandoer for å blokkere forbindelsen til serveren din:
iptables -A INNGANG 1 -s $ IPADRESS -j DROP / REJECT
Merk at du må erstatte $ IPADRESS med IP-adressene som er funnet med netstat.
Etter å ha utløst kommandoen ovenfor, DREP alle httpd-tilkoblinger for å rydde opp i systemet og starte det på nytt med følgende kommandoer:
killall -DREP httpd
service httpd start # For Red Hat-systemer / etc / init / d / apache2 restart # For Debian-systemer
Fuente: linuxaria