NetStat: Wskazówki dotyczące wykrywania ataków DDoS

Znalazłem bardzo interesujący artykuł w linuksaria jak wykryć, czy nasz serwer jest atakowany DDoS (Rozproszona odmowa usługi)Lub co jest tym samym, Atak typu Denial of Services.

NetStat, aby zapobiec atakom DDoS

Ten typ ataku jest dość powszechny i ​​może być powodem, dla którego nasze serwery są nieco powolne (chociaż może to być również problem warstwy 8) i ostrzeżenie nigdy nie boli. Aby to zrobić, możesz użyć narzędzia netstat, który pozwala nam zobaczyć połączenia sieciowe, tabele tras, statystyki interfejsów i inne serie rzeczy.

Przykłady NetStat

netstat -nie

Ten ekran będzie zawierał wszystkie aktywne połączenia internetowe na serwerze i tylko ustanowione połączenia.

netstat -an | grep: 80 | sortować

Pokaż tylko aktywne połączenia internetowe z serwerem na porcie 80, który jest portem http, i posortuj wyniki. Przydatne w wykrywaniu pojedynczej powodzi (powódź), dzięki czemu umożliwia rozpoznawanie wielu połączeń z adresu IP.

netstat -n -p | grep SYN_REC | wc -l

To polecenie jest przydatne, aby wiedzieć, ile aktywnych SYNC_REC występuje na serwerze. Liczba powinna być dość niska, najlepiej mniejsza niż 5. W przypadku ataków typu „odmowa usługi” lub bomb pocztowych liczba ta może być dość wysoka. Jednak ta wartość jest zawsze zależna od systemu, więc wysoka wartość może być normalna na innym serwerze.

netstat -n -p | grep SYN_REC | sortuj -u

Zrób listę wszystkich adresów IP zaangażowanych osób.

netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{print $ 1}'

Wymień wszystkie unikalne adresy IP węzła, które wysyłają stan połączenia SYN_REC.

netstat -ntu | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -n

Użyj polecenia netstat, aby obliczyć i policzyć liczbę połączeń z każdego adresu IP, które tworzysz z serwerem.

netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -n

Liczba adresów IP łączących się z serwerem przy użyciu protokołu TCP lub UDP.

netstat -ntu | grep ESTAB | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -nr

Sprawdź połączenia oznaczone jako ESTABLISHED zamiast wszystkich połączeń i pokaż połączenia dla każdego adresu IP.

netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1

Wyświetla i listę adresów IP oraz ich liczbę połączeń, które łączą się z portem 80 na serwerze. Port 80 jest używany głównie przez HTTP dla żądań sieci Web.

Jak złagodzić atak DOS

Po znalezieniu adresu IP, który atakuje serwer, możesz użyć następujących poleceń, aby zablokować połączenie z Twoim serwerem:

iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT

Zauważ, że musisz zamienić $ IPADRESS na adresy IP, które zostały znalezione przez netstat.

Po uruchomieniu powyższego polecenia ZABIJ wszystkie połączenia httpd, aby wyczyścić system i uruchom go ponownie później, używając następujących poleceń:

killall -ZABIJ httpd
service httpd start # Dla systemów Red Hat / etc / init / d / apache2 restart # Dla systemów Debian

źródło: linuksaria


7 komentarzy, zostaw swoje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.

  1.   James_Che powiedział

    Mozilla jest zmuszona dodać DRM do filmów w przeglądarce Firefox
    http://alt1040.com/2014/05/mozilla-drm-firefox
    Wiem, że nie ma to nic wspólnego z postem. Ale chciałbym wiedzieć, co o tym myślisz. Dobrą rzeczą jest to, że można go wyłączyć.

    1.    pełen życia powiedział

      Człowieku, bo debaty są forum.

      1.    msx powiedział

        Ty, który jesteś człowiekiem iproute2, spróbuj 'ss' ...

    2.    nano powiedział

      Zgadzam się z Elavem, forum jest do czegoś ... Nie będę usuwał komentarza, ale proszę o skorzystanie z przestrzeni przewidzianych dla każdej rzeczy.

  2.   Linia graficzna powiedział

    Zamiast grep, egrep
    netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -n

    przez

    netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -n

  3.   Juan SRC powiedział

    Będzie to dotyczyło projektu, który zamierzam skonfigurować, w którym istnieje wiele możliwości bycia celem DDoS

  4.   Raiola rządzi, a nie panda powiedział

    Bardzo dziękuję za informację, ostatnio konkurencja jest bardzo intensywna.