V prispevku sem našel zelo zanimiv članek linuxaria o tem, kako zaznati, ali je naš strežnik napaden DDoS (Porazdeljena zavrnitev storitve), Ali kaj je enako, Napad zavrnitve storitev.
Ta vrsta napada je precej pogosta in je lahko razlog, da so naši strežniki nekoliko počasni (čeprav je to lahko tudi teža 8-ih nivojev) in nikoli ne škodi, če jih opozorimo. Če želite to narediti, lahko uporabite orodje NetStat, ki nam omogoča ogled omrežnih povezav, tabel poti, statistike vmesnikov in druge vrste stvari.
Primeri NetStat
netstat -na
Ta zaslon bo vseboval vse aktivne internetne povezave na strežniku in samo vzpostavljene povezave.
netstat -an | grep: 80 | razvrsti
Na strežniku na vratih 80, ki so vrata http, prikažite samo aktivne internetne povezave in razvrstite rezultate. Uporabno pri odkrivanju ene same poplave (poplav), tako da omogoča prepoznavanje številnih povezav z naslova IP.
netstat -n -p | grep SYN_REC | wc -l
Ta ukaz je koristen, če želite vedeti, koliko aktivnih SYNC_REC se pojavlja na strežniku. Število naj bo precej nizko, po možnosti manj kot 5. V primerih napadov na zavrnitev storitve ali bombnih napadov je lahko število zelo veliko. Vendar je vrednost vedno odvisna od sistema, zato je visoka vrednost lahko normalna za drug strežnik.
netstat -n -p | grep SYN_REC | razvrsti -u
Naredite seznam vseh naslovov IP vpletenih.
netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{natisni $ 1}'
Naštejte vse enolične naslove IP vozlišča, ki pošiljajo stanje povezave SYN_REC.
netstat -ntu | awk '{print $ 5}' | cut -d: -f1 | razvrsti | uniq -c | razvrsti -n
Z ukazom netstat izračunajte in preštejte število povezav z vsakega naslova IP, ki ga vzpostavite s strežnikom.
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | razvrsti | uniq -c | razvrsti -n
Število naslovov IP, ki se s strežnikom povežejo s protokolom TCP ali UDP.
netstat -ntu | grep ESTAB | awk '{print $ 5}' | cut -d: -f1 | razvrsti | uniq -c | razvrsti -nr
Namesto vseh povezav preverite povezave z oznako ESTABLISHED in prikažite povezave za vsak IP.
netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1
Prikaže in seznam naslovov IP in njihovo število povezav, ki se povežejo z vrati 80 na strežniku. Vrata 80 HTTP uporablja predvsem za spletne zahteve.
Kako ublažiti napad DOS
Ko najdete IP, ki ga strežnik napada, lahko z naslednjimi ukazi blokirate njihovo povezavo s strežnikom:
iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT
Upoštevajte, da morate $ IPADRESS zamenjati z naslovi IP, ki so bili najdeni z netstat.
Ko sprožite zgornji ukaz, UBIJTE vse povezave httpd, da počistite sistem in ga znova zaženite pozneje z naslednjimi ukazi:
killall -UBI httpd
storitev httpd start # Za sisteme Red Hat / etc / init / d / apache2 ponovni zagon # Za sisteme Debian
vir: linuxaria
Mozilla je prisiljena dodati DRM video posnetkom v Firefoxu
http://alt1040.com/2014/05/mozilla-drm-firefox
Vem, da to nima nobene zveze z objavo. Želel pa bi vedeti, kaj mislite o tem. Dobra stvar je, da jo je mogoče onemogočiti.
Človek, za razprave je forum.
Vi, ki ste človek iproute2, poskusite "ss" ...
Strinjam se z Elavom, forum je namenjen nečemu ... Komentarja ne bom izbrisal, prosim, uporabite prostore, predvidene za vsako stvar.
Namesto grep, egrep
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | razvrsti | uniq -c | razvrsti -n
jo
netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | razvrsti | uniq -c | razvrsti -n
To bo za projekt, ki ga bom postavil tam, kjer obstaja veliko možnosti, da postanem cilji DDoS
Najlepša hvala za informacije, v zadnjem času je konkurenca velika na tem področju.