Eu encontrei um artigo muito interessante em linuxária sobre como detectar se nosso servidor está sob ataque DDoS (Negação de serviço distribuída), ou o que é o mesmo, Ataque de negação de serviços.
Este tipo de ataque é bastante comum e pode ser a razão pela qual nossos servidores são um pouco lentos (embora também possa ser um problema da Camada 8) e nunca é demais estar avisado. Para fazer isso, você pode usar a ferramenta netstat, que nos permite ver conexões de rede, tabelas de rotas, estatísticas de interface e outras séries de coisas.
Exemplos NetStat
netstat -na
Esta tela incluirá todas as conexões de Internet ativas no servidor e apenas as conexões estabelecidas.
netstat -an | grep: 80 | ordenar
Mostre apenas as conexões ativas da Internet com o servidor na porta 80, que é a porta http, e classifique os resultados. Útil na detecção de uma única inundação (inundação) de modo que permite reconhecer muitas conexões de um endereço IP.
netstat -n -p | grep SYN_REC | wc -l
Este comando é útil para saber quantos SYNC_RECs ativos estão ocorrendo no servidor. O número deve ser bem baixo, de preferência menor que 5. Em incidentes de ataques de negação de serviço ou bombas postais, o número pode ser bastante alto. No entanto, o valor é sempre dependente do sistema, portanto, um valor alto pode ser normal em outro servidor.
netstat -n -p | grep SYN_REC | classificar -u
Faça uma lista de todos os endereços IP dos envolvidos.
netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{print $ 1}'
Liste todos os endereços IP exclusivos do nó que estão enviando o status de conexão SYN_REC.
netstat -ntu | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -n
Use o comando netstat para calcular e contar o número de conexões de cada endereço IP que você faz com o servidor.
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -n
Número de endereços IP que se conectam ao servidor usando o protocolo TCP ou UDP.
netstat -ntu | grep ESTAB | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -nr
Verifique as conexões marcadas como ESTABLISHED em vez de todas as conexões e mostre as conexões para cada IP.
netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1
Exibe uma lista de endereços IP e seu número de conexões conectadas à porta 80 no servidor. A porta 80 é usada principalmente por HTTP para solicitações da web.
Como mitigar um ataque DOS
Depois de encontrar o IP que o servidor está atacando, você pode usar os seguintes comandos para bloquear a conexão com o seu servidor:
iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT
Observe que você deve substituir $ IPADRESS com os endereços IP que foram encontrados com netstat.
Depois de disparar o comando acima, KILL todas as conexões httpd para limpar seu sistema e reinicie-o mais tarde usando os seguintes comandos:
killall -KILL httpd
service httpd start # Para sistemas Red Hat / etc / init / d / apache2 restart # Para sistemas Debian
fonte: linuxária
Mozilla é forçado a adicionar DRM a vídeos no Firefox
http://alt1040.com/2014/05/mozilla-drm-firefox
Eu sei que não tem nada a ver com o post. Mas gostaria de saber o que você pensa sobre isso. O bom é que pode ser desativado.
Cara, para debates é fórum.
Você que é um homem iproute2, tente 'ss' ...
Concordo com o Elav, o fórum é para algo ... Não vou deletar o comentário mas, por favor, faça uso dos espaços previstos para cada coisa.
Em vez de grep, egrep
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -n
por
netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -n
Isso vai ser para um projeto que irei configurar onde há muitas possibilidades de serem alvos de DDoS
Muito obrigado pela informação, ultimamente a competição está acirrada no assunto.