NetStat: Tips för att upptäcka DDoS-attacker

Jag har hittat en mycket intressant artikel i Linuxaria om hur vi upptäcker om vår server är under attack DDoS (Distribuerad denial of service), Eller vad är detsamma, Denial of Services Attack.

NetStat för att förhindra DDoS-attacker

Den här typen av attacker är ganska vanligt och kan vara anledningen till att våra servrar är något långsamma (även om det också kan vara ett Layer 8-problem) och det gör aldrig ont att vara varnad. För att göra detta kan du använda verktyget netstat, vilket gör att vi kan se nätverksanslutningar, ruttabeller, gränssnittsstatistik och andra serier av saker.

NetStat-exempel

netstat -na

Den här skärmen innehåller alla aktiva internetanslutningar på servern och endast etablerade anslutningar.

netstat -an | grep: 80 | sortera

Visa endast aktiva internetanslutningar till servern på port 80, som är http-porten, och sortera resultaten. Användbar för att upptäcka en enda översvämning (översvämning) så att det möjliggör igenkänning av många anslutningar från en IP-adress.

netstat -n -p | grep SYN_REC | wc -l

Detta kommando är användbart för att veta hur många aktiva SYNC_REC som förekommer på servern. Antalet ska vara ganska lågt, helst mindre än 5. I händelser av förnekelser av tjänsteattacker eller postbomber kan antalet vara ganska högt. Värdet är dock alltid systemberoende, så ett högt värde kan vara normalt på en annan server.

netstat -n -p | grep SYN_REC | sortera -u

Gör en lista över alla inblandade IP-adresser.

netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{skriv ut $ 1}'

Lista alla unika IP-adresser för noden som skickar SYN_REC-anslutningsstatus.

netstat -ntu | awk '{print $ 5}' | klipp -d: -f1 | sortera | uniq -c | sortera -n

Använd kommandot netstat för att beräkna och räkna antalet anslutningar från varje IP-adress som du gör till servern.

netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | klipp -d: -f1 | sortera | uniq -c | sortera -n

Antal IP-adresser som ansluter till servern med TCP- eller UDP-protokollet.

netstat -ntu | grep ESTAB | awk '{print $ 5}' | klipp -d: -f1 | sortera | uniq -c | sortera -nr

Kontrollera anslutningar märkta ESTABLISHED istället för alla anslutningar och visa anslutningar för varje IP.

netstat -plan | grep: 80 | awk {'print $ 5'} | klipp -d: -f 1 | sortera | uniq -c | sortera -nk 1

Visar och listar över IP-adresser och deras antal anslutningar som ansluter till port 80 på servern. Port 80 används främst av HTTP för webbförfrågningar.

Hur man kan mildra en DOS-attack

När du väl har hittat IP: n som servern attackerar kan du använda följande kommandon för att blockera deras anslutning till din server:

iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT

Observera att du måste ersätta $ IPADRESS med IP-adresserna som har hittats med netstat.

Efter att ha avfyrat ovanstående kommando, DÖD alla httpd-anslutningar för att städa upp ditt system och starta om det senare med följande kommandon:

killall -KILL httpd
service httpd start # För Red Hat-system / etc / init / d / apache2 omstart # För Debian-system

Fuente: Linuxaria


Innehållet i artikeln följer våra principer om redaktionell etik. Klicka på för att rapportera ett fel här.

7 kommentarer, lämna din

Lämna din kommentar

Din e-postadress kommer inte att publiceras.

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.

  1.   James_Che sade

    Mozilla tvingas lägga till DRM i videor i Firefox
    http://alt1040.com/2014/05/mozilla-drm-firefox
    Jag vet att det inte har något att göra med inlägget. Men jag skulle vilja veta vad du tycker om detta. Det som är bra är att det kan inaktiveras.

    1.    elav sade

      Man, för debatter är forum.

      1.    MSX sade

        Du som är en iproute2 man, prova ss ...

    2.    nano sade

      Jag håller med Elav, forumet är för något ... Jag kommer inte att radera kommentaren, men snälla, använd de utrymmen som finns för varje sak.

  2.   Grafisk linje sade

    Istället för grep, egrep
    netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | klipp -d: -f1 | sortera | uniq -c | sortera -n

    av

    netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | klipp -d: -f1 | sortera | uniq -c | sortera -n

  3.   JuanSRC sade

    Detta kommer att vara för ett projekt som jag ska sätta upp där det finns många möjligheter att vara DDoS-mål

  4.   Raiola styr och inte pandaen sade

    Tack så mycket för informationen, på sistone är konkurrensen tung i ämnet.