Našiel som veľmi zaujímavý článok v linuxaria ako zistiť, či je náš server napadnutý DDoS (Distribuované odmietnutie služby), Alebo čo je to isté, Útok odmietnutia služieb.
Tento typ útoku je pomerne častý a môže byť dôvodom, prečo sú naše servery trochu pomalé (aj keď to môže byť aj problém vrstvy 8) a nikdy ich nezaškodí upozorniť. Ak to chcete urobiť, môžete použiť nástroj netstat, ktorý nám umožňuje vidieť sieťové pripojenia, smerovacie tabuľky, štatistiky rozhraní a ďalšie série vecí.
Príklady NetStat
netstat -na
Táto obrazovka bude obsahovať všetky aktívne internetové pripojenia na serveri a iba nadviazané pripojenia.
netstat -an | grep: 80 | triediť
Zobraziť iba aktívne internetové pripojenie k serveru na porte 80, čo je port http, a výsledky triediť. Užitočné pri zisťovaní jednej povodne (povodeň), takže umožňuje rozpoznať veľa pripojení z adresy IP.
netstat -n -p | grep SYN_REC | wc -l
Tento príkaz je užitočný na zistenie toho, koľko aktívnych SYNC_REC sa vyskytuje na serveri. Počet by mal byť dosť nízky, najlepšie menší ako 5. V prípadoch odmietnutia služby alebo poštových bômb môže byť ich počet dosť vysoký. Hodnota je však vždy závislá od systému, takže vysoká hodnota môže byť na inom serveri normálna.
netstat -n -p | grep SYN_REC | triediť -u
Vytvorte zoznam všetkých adries IP všetkých zúčastnených.
netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{print $ 1}'
Zoznam všetkých jedinečných adries IP uzla, ktorý odosiela stav pripojenia SYN_REC.
netstat -ntu | awk '{print $ 5}' | rez -d: -f1 | triediť | uniq -c | triediť -n
Pomocou príkazu netstat vypočítajte a spočítajte počet pripojení z každej adresy IP, ktorú vykonáte na serveri.
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | rez -d: -f1 | triediť | uniq -c | triediť -n
Počet adries IP, ktoré sa pripájajú k serveru pomocou protokolu TCP alebo UDP.
netstat -ntu | grep ESTAB | awk '{print $ 5}' | rez -d: -f1 | triediť | uniq -c | triediť -č
Skontrolujte pripojenia označené ESTABLISHED namiesto všetkých pripojení a zobrazte pripojenia pre každú IP adresu.
netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1
Zobrazenie a zoznam adries IP a ich počtu pripojení, ktoré sa pripájajú k portu 80 na serveri. Port 80 používa primárne HTTP pre webové požiadavky.
Ako zmierniť útok systému DOS
Po nájdení adresy IP, ktorú server napáda, môžete pomocou nasledujúcich príkazov zablokovať ich pripojenie k serveru:
iptables -A VSTUP 1 -s $ IPADRESS -j DROP / REJECT
Pamätajte, že musíte nahradiť $ IPADRESS adresami IP, ktoré sa našli v netstat.
Po spustení vyššie uvedeného príkazu ZABIJTE všetky pripojenia httpd, aby ste vyčistili systém a neskôr ho reštartovali pomocou nasledujúcich príkazov:
killall -KILL httpd
služba httpd start # Pre systémy Red Hat / etc / init / d / apache2 restart # Pre systémy Debian
Fuente: linuxaria
Mozilla je nútená pridávať DRM k videám vo Firefoxe
http://alt1040.com/2014/05/mozilla-drm-firefox
Viem, že to nemá nič spoločné s príspevkom. Ale chcel by som vedieť, čo si o tom myslíte. Dobrá vec je, že môže byť vypnutá.
Človeče, pre debaty je fórum.
Vy, ktorí ste mužom iproute2, skúste „ss“ ...
Súhlasím s Elavom, fórum je pre niečo ... Komentár nebudem mazať, ale prosím využite medzery uvedené pre každú vec.
Namiesto grep, egrep
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | rez -d: -f1 | triediť | uniq -c | triediť -n
podľa
netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | rez -d: -f1 | triediť | uniq -c | triediť -n
Toto sa bude týkať projektu, ktorý chystám zriadiť a existuje veľa možností, ako byť cieľmi DDoS
Ďakujem pekne za informácie, v poslednej dobe je na túto tému veľká konkurencia.