Jag har hittat en mycket intressant artikel i linuxaria om hur vi upptäcker om vår server är under attack DDoS (Distribuerad denial of service), Eller vad är detsamma, Denial of Services Attack.
Den här typen av attacker är ganska vanligt och kan vara anledningen till att våra servrar är något långsamma (även om det också kan vara ett Layer 8-problem) och det gör aldrig ont att vara varnad. För att göra detta kan du använda verktyget netstat, vilket gör att vi kan se nätverksanslutningar, ruttabeller, gränssnittsstatistik och andra serier av saker.
NetStat-exempel
netstat -na
Den här skärmen innehåller alla aktiva internetanslutningar på servern och endast etablerade anslutningar.
netstat -an | grep: 80 | sortera
Visa endast aktiva internetanslutningar till servern på port 80, som är http-porten, och sortera resultaten. Användbar för att upptäcka en enda översvämning (översvämning) så att det möjliggör igenkänning av många anslutningar från en IP-adress.
netstat -n -p | grep SYN_REC | wc -l
Detta kommando är användbart för att veta hur många aktiva SYNC_REC som förekommer på servern. Antalet ska vara ganska lågt, helst mindre än 5. I händelser av förnekelser av tjänsteattacker eller postbomber kan antalet vara ganska högt. Värdet är dock alltid systemberoende, så ett högt värde kan vara normalt på en annan server.
netstat -n -p | grep SYN_REC | sortera -u
Gör en lista över alla inblandade IP-adresser.
netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{skriv ut $ 1}'
Lista alla unika IP-adresser för noden som skickar SYN_REC-anslutningsstatus.
netstat -ntu | awk '{print $ 5}' | klipp -d: -f1 | sortera | uniq -c | sortera -n
Använd kommandot netstat för att beräkna och räkna antalet anslutningar från varje IP-adress som du gör till servern.
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | klipp -d: -f1 | sortera | uniq -c | sortera -n
Antal IP-adresser som ansluter till servern med TCP- eller UDP-protokollet.
netstat -ntu | grep ESTAB | awk '{print $ 5}' | klipp -d: -f1 | sortera | uniq -c | sortera -nr
Kontrollera anslutningar märkta ESTABLISHED istället för alla anslutningar och visa anslutningar för varje IP.
netstat -plan | grep: 80 | awk {'print $ 5'} | klipp -d: -f 1 | sortera | uniq -c | sortera -nk 1
Visar och listar över IP-adresser och deras antal anslutningar som ansluter till port 80 på servern. Port 80 används främst av HTTP för webbförfrågningar.
Hur man kan mildra en DOS-attack
När du väl har hittat IP: n som servern attackerar kan du använda följande kommandon för att blockera deras anslutning till din server:
iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT
Observera att du måste ersätta $ IPADRESS med IP-adresserna som har hittats med netstat.
Efter att ha avfyrat ovanstående kommando, DÖD alla httpd-anslutningar för att städa upp ditt system och starta om det senare med följande kommandon:
killall -KILL httpd
service httpd start # För Red Hat-system / etc / init / d / apache2 omstart # För Debian-system
Fuente: linuxaria
Mozilla tvingas lägga till DRM i videor i Firefox
http://alt1040.com/2014/05/mozilla-drm-firefox
Jag vet att det inte har något att göra med inlägget. Men jag skulle vilja veta vad du tycker om detta. Det som är bra är att det kan inaktiveras.
Man, för debatter är forum.
Du som är en iproute2 man, prova ss ...
Jag håller med Elav, forumet är för något ... Jag kommer inte att radera kommentaren, men snälla, använd de utrymmen som finns för varje sak.
Istället för grep, egrep
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | klipp -d: -f1 | sortera | uniq -c | sortera -n
av
netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | klipp -d: -f1 | sortera | uniq -c | sortera -n
Detta kommer att vara för ett projekt som jag ska sätta upp där det finns många möjligheter att vara DDoS-mål
Tack så mycket för informationen, på sistone är konkurrensen tung i ämnet.