Kam gjetur një artikull shumë interesant në linuxaria se si të zbulojmë nëse serveri ynë është nën sulm DDoS (Refuzimi i Shpërndarjes së Shërbimit), Ose çfarë është e njëjtë, Sulmi i mohimit të shërbimeve.
Ky lloj sulmi është mjaft i zakonshëm dhe mund të jetë arsyeja pse serverat tanë janë disi të ngadaltë (megjithëse mund të jetë gjithashtu një problem i Layer 8) dhe nuk dëmton kurrë që të paralajmëroheni. Për ta bërë këtë, mund të përdorni mjetin netstat, e cila na lejon të shohim lidhjet e rrjetit, tabelat e rrugëve, statistikat e ndërfaqeve dhe seri të tjera gjërash.
Shembuj të NetStat
netstat -na
Ky ekran do të përfshijë të gjitha lidhjet aktive të Internetit në server dhe vetëm lidhjet e vendosura.
netstat -an | grep: 80 | rendit
Shfaqni vetëm lidhjet aktive të Internetit me serverin në portin 80, i cili është porti http dhe renditni rezultatet. E dobishme në zbulimin e një përmbytjeje të vetme (përmbytje) kështu që lejon njohjen e shumë lidhjeve nga një adresë IP.
netstat -n -p | grep SYN_REC | wc -l
Kjo komandë është e dobishme për të ditur se sa SYNC_REC aktiv ndodhin në server. Numri duhet të jetë mjaft i ulët, mundësisht më pak se 5. Në incidentet e sulmeve të mohimit të shërbimit ose bomba me postë, numri mund të jetë mjaft i lartë. Sidoqoftë, vlera është gjithmonë e varur nga sistemi, kështu që një vlerë e lartë mund të jetë normale në një server tjetër.
netstat -n -p | grep SYN_REC | lloj -u
Bëni një listë të të gjitha adresave IP të atyre që janë përfshirë.
netstat -n -p | grep SYN_REC | awk '{shtyp $ 5}' | awk -F: '{shtyp $ 1}'
Renditni të gjitha adresat unike IP të nyjes që po dërgojnë statusin e lidhjes SYN_REC.
netstat -ntu | awk '{shtyp $ 5}' | prerë -d: -f1 | lloj | uniq -c | lloj -n
Përdorni komandën netstat për të llogaritur dhe numëruar numrin e lidhjeve nga secila adresë IP që ju bëni në server.
netstat -anp | grep 'tcp | udp' | awk '{shtyp $ 5}' | prerë -d: -f1 | lloj | uniq -c | lloj -n
Numri i adresave IP që lidhen me serverin duke përdorur protokollin TCP ose UDP.
netstat -ntu | grep ESTAB | awk '{shtyp $ 5}' | prerë -d: -f1 | lloj | uniq -c | lloj -nr
Kontrolloni lidhjet e shënuara ESTABLISHED në vend të të gjitha lidhjeve dhe tregoni lidhjet për secilën IP.
netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | lloj | uniq -c | lloj -nk 1
Shfaq dhe lista e adresave IP dhe numri i lidhjeve të tyre që lidhen me portën 80 në server. Porti 80 përdoret kryesisht nga HTTP për kërkesa në ueb.
Si të zbutni një sulm DOS
Pasi të keni gjetur IP-në që serveri po sulmon, mund të përdorni komandat e mëposhtme për të bllokuar lidhjen e tyre me serverin tuaj:
iptables -A INPUT 1 - s $ IPADRESS -j RRONI / HEDHJE
Vini re që ju duhet të zëvendësoni $ IPADRESS me adresat IP që janë gjetur me netstat.
Pas shkrepjes së komandës së mësipërme, VRASI të gjitha lidhjet httpd për të pastruar sistemin tuaj dhe rifilloni atë më vonë duke përdorur komandat e mëposhtme:
killall -VRAS httpd
shërbimi httpd start # Për sistemet Red Hat / etc / init / d / apache2 rinisni # Për sistemet Debian
Fuente: linuxaria
Mozilla është e detyruar të shtojë DRM në video në Firefox
http://alt1040.com/2014/05/mozilla-drm-firefox
E di që nuk ka asnjë lidhje me postimin. Por do të doja të dija se çfarë mendon për këtë. E mira është që mund të çaktivizohet.
Njeri, për debate është Forum.
Ju që jeni një njeri iproute2, provoni 's' ...
Pajtohem me Elav, forumi është për diçka ... Unë nuk do ta fshij komentin, por, ju lutem, duhet të shfrytëzoni hapësirat e parashikuara për secilën gjë.
Në vend të grep, egrep
netstat -anp | grep 'tcp | udp' | awk '{shtyp $ 5}' | prerë -d: -f1 | lloj | uniq -c | lloj -n
nga
netstat -anp | egrep 'tcp | udp' | awk '{shtyp $ 5}' | prerë -d: -f1 | lloj | uniq -c | lloj -n
Kjo do të jetë për një projekt që unë do të krijoj atje ku ka shumë mundësi për të qenë objektiva të DDoS
Faleminderit shumë për informacionin, kohët e fundit konkurrenca është e madhe për këtë temë.