NetStat: dicas para detectar ataques DDoS

Eu encontrei um artigo muito interessante em linuxária sobre como detectar se nosso servidor está sob ataque DDoS (Negação de serviço distribuída), ou o que é o mesmo, Ataque de negação de serviços.

NetStat para prevenir ataques DDoS

Este tipo de ataque é bastante comum e pode ser a razão pela qual nossos servidores são um pouco lentos (embora também possa ser um problema da Camada 8) e nunca é demais estar avisado. Para fazer isso, você pode usar a ferramenta netstat, que nos permite ver conexões de rede, tabelas de rotas, estatísticas de interface e outras séries de coisas.

Exemplos NetStat

netstat -na

Esta tela incluirá todas as conexões de Internet ativas no servidor e apenas as conexões estabelecidas.

netstat -an | grep: 80 | ordenar

Mostre apenas as conexões ativas da Internet com o servidor na porta 80, que é a porta http, e classifique os resultados. Útil na detecção de uma única inundação (inundação) de modo que permite reconhecer muitas conexões de um endereço IP.

netstat -n -p | grep SYN_REC | wc -l

Este comando é útil para saber quantos SYNC_RECs ativos estão ocorrendo no servidor. O número deve ser bem baixo, de preferência menor que 5. Em incidentes de ataques de negação de serviço ou bombas postais, o número pode ser bastante alto. No entanto, o valor é sempre dependente do sistema, portanto, um valor alto pode ser normal em outro servidor.

netstat -n -p | grep SYN_REC | classificar -u

Faça uma lista de todos os endereços IP dos envolvidos.

netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{print $ 1}'

Liste todos os endereços IP exclusivos do nó que estão enviando o status de conexão SYN_REC.

netstat -ntu | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -n

Use o comando netstat para calcular e contar o número de conexões de cada endereço IP que você faz com o servidor.

netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -n

Número de endereços IP que se conectam ao servidor usando o protocolo TCP ou UDP.

netstat -ntu | grep ESTAB | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -nr

Verifique as conexões marcadas como ESTABLISHED em vez de todas as conexões e mostre as conexões para cada IP.

netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1

Exibe uma lista de endereços IP e seu número de conexões conectadas à porta 80 no servidor. A porta 80 é usada principalmente por HTTP para solicitações da web.

Como mitigar um ataque DOS

Depois de encontrar o IP que o servidor está atacando, você pode usar os seguintes comandos para bloquear a conexão com o seu servidor:

iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT

Observe que você deve substituir $ IPADRESS com os endereços IP que foram encontrados com netstat.

Depois de disparar o comando acima, KILL todas as conexões httpd para limpar seu sistema e reinicie-o mais tarde usando os seguintes comandos:

killall -KILL httpd
service httpd start # Para sistemas Red Hat / etc / init / d / apache2 restart # Para sistemas Debian

fonte: linuxária


7 comentários, deixe o seu

Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.

  1.   James_Che dito

    Mozilla é forçado a adicionar DRM a vídeos no Firefox
    http://alt1040.com/2014/05/mozilla-drm-firefox
    Eu sei que não tem nada a ver com o post. Mas gostaria de saber o que você pensa sobre isso. O bom é que pode ser desativado.

    1.    elav. dito

      Cara, para debates é fórum.

      1.    msx dito

        Você que é um homem iproute2, tente 'ss' ...

    2.    nano dito

      Concordo com o Elav, o fórum é para algo ... Não vou deletar o comentário mas, por favor, faça uso dos espaços previstos para cada coisa.

  2.   Linha gráfica dito

    Em vez de grep, egrep
    netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -n

    por

    netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -n

  3.   Juan SRC dito

    Isso vai ser para um projeto que irei configurar onde há muitas possibilidades de serem alvos de DDoS

  4.   Raiola manda e não o panda dito

    Muito obrigado pela informação, ultimamente a competição está acirrada no assunto.