Znalazłem bardzo interesujący artykuł w linuksaria jak wykryć, czy nasz serwer jest atakowany DDoS (Rozproszona odmowa usługi)Lub co jest tym samym, Atak typu Denial of Services.
Ten typ ataku jest dość powszechny i może być powodem, dla którego nasze serwery są nieco powolne (chociaż może to być również problem warstwy 8) i ostrzeżenie nigdy nie boli. Aby to zrobić, możesz użyć narzędzia netstat, który pozwala nam zobaczyć połączenia sieciowe, tabele tras, statystyki interfejsów i inne serie rzeczy.
Przykłady NetStat
netstat -nie
Ten ekran będzie zawierał wszystkie aktywne połączenia internetowe na serwerze i tylko ustanowione połączenia.
netstat -an | grep: 80 | sortować
Pokaż tylko aktywne połączenia internetowe z serwerem na porcie 80, który jest portem http, i posortuj wyniki. Przydatne w wykrywaniu pojedynczej powodzi (powódź), dzięki czemu umożliwia rozpoznawanie wielu połączeń z adresu IP.
netstat -n -p | grep SYN_REC | wc -l
To polecenie jest przydatne, aby wiedzieć, ile aktywnych SYNC_REC występuje na serwerze. Liczba powinna być dość niska, najlepiej mniejsza niż 5. W przypadku ataków typu „odmowa usługi” lub bomb pocztowych liczba ta może być dość wysoka. Jednak ta wartość jest zawsze zależna od systemu, więc wysoka wartość może być normalna na innym serwerze.
netstat -n -p | grep SYN_REC | sortuj -u
Zrób listę wszystkich adresów IP zaangażowanych osób.
netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{print $ 1}'
Wymień wszystkie unikalne adresy IP węzła, które wysyłają stan połączenia SYN_REC.
netstat -ntu | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -n
Użyj polecenia netstat, aby obliczyć i policzyć liczbę połączeń z każdego adresu IP, które tworzysz z serwerem.
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -n
Liczba adresów IP łączących się z serwerem przy użyciu protokołu TCP lub UDP.
netstat -ntu | grep ESTAB | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -nr
Sprawdź połączenia oznaczone jako ESTABLISHED zamiast wszystkich połączeń i pokaż połączenia dla każdego adresu IP.
netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1
Wyświetla i listę adresów IP oraz ich liczbę połączeń, które łączą się z portem 80 na serwerze. Port 80 jest używany głównie przez HTTP dla żądań sieci Web.
Jak złagodzić atak DOS
Po znalezieniu adresu IP, który atakuje serwer, możesz użyć następujących poleceń, aby zablokować połączenie z Twoim serwerem:
iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT
Zauważ, że musisz zamienić $ IPADRESS na adresy IP, które zostały znalezione przez netstat.
Po uruchomieniu powyższego polecenia ZABIJ wszystkie połączenia httpd, aby wyczyścić system i uruchom go ponownie później, używając następujących poleceń:
killall -ZABIJ httpd
service httpd start # Dla systemów Red Hat / etc / init / d / apache2 restart # Dla systemów Debian
źródło: linuksaria
Mozilla jest zmuszona dodać DRM do filmów w przeglądarce Firefox
http://alt1040.com/2014/05/mozilla-drm-firefox
Wiem, że nie ma to nic wspólnego z postem. Ale chciałbym wiedzieć, co o tym myślisz. Dobrą rzeczą jest to, że można go wyłączyć.
Człowieku, bo debaty są forum.
Ty, który jesteś człowiekiem iproute2, spróbuj 'ss' ...
Zgadzam się z Elavem, forum jest do czegoś ... Nie będę usuwał komentarza, ale proszę o skorzystanie z przestrzeni przewidzianych dla każdej rzeczy.
Zamiast grep, egrep
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -n
przez
netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -n
Będzie to dotyczyło projektu, który zamierzam skonfigurować, w którym istnieje wiele możliwości bycia celem DDoS
Bardzo dziękuję za informację, ostatnio konkurencja jest bardzo intensywna.