நெட்ஸ்டாட்: டி.டி.ஓ.எஸ் தாக்குதல்களைக் கண்டறிய உதவிக்குறிப்புகள்

நான் ஒரு சுவாரஸ்யமான கட்டுரையை கண்டுபிடித்தேன் லினுக்சரியா எங்கள் சேவையகம் தாக்குதலுக்கு உள்ளானால் எவ்வாறு கண்டறிவது என்பது குறித்து DDoS (சேவை மறுப்புத்), அல்லது அதே என்ன, சேவைகள் மறுப்பு தாக்குதல்.

இந்த வகை தாக்குதல் மிகவும் பொதுவானது மற்றும் எங்கள் சேவையகங்கள் ஓரளவு மெதுவாக இருப்பதற்கான காரணமாக இருக்கலாம் (இது ஒரு அடுக்கு 8 பிரச்சனையாகவும் இருக்கலாம்) மற்றும் இது முன்னறிவிக்கப்பட்டதை ஒருபோதும் பாதிக்காது. இதைச் செய்ய, நீங்கள் கருவியைப் பயன்படுத்தலாம் , netstat, இது பிணைய இணைப்புகள், பாதை அட்டவணைகள், இடைமுக புள்ளிவிவரங்கள் மற்றும் பிற தொடர் விஷயங்களைக் காண எங்களை அனுமதிக்கிறது.

நெட்ஸ்டாட் எடுத்துக்காட்டுகள்

நெட்ஸ்டாட் -நா

இந்தத் திரையில் சேவையகத்தில் உள்ள அனைத்து செயலில் உள்ள இணைய இணைப்புகள் மற்றும் நிறுவப்பட்ட இணைப்புகள் மட்டுமே இருக்கும்.

netstat -an | grep: 80 | வகைபடுத்து

போர்ட் 80 இல் உள்ள சேவையகத்துடன் செயலில் உள்ள இணைய இணைப்புகளை மட்டுமே காண்பி, இது http போர்ட் ஆகும், மேலும் முடிவுகளை வரிசைப்படுத்தவும். ஒரு வெள்ளத்தைக் கண்டறிவதில் பயனுள்ளது (வெள்ள) எனவே இது ஒரு ஐபி முகவரியிலிருந்து பல இணைப்புகளை அங்கீகரிக்க அனுமதிக்கிறது.

netstat -n -p | grep SYN_REC | wc -l

சேவையகத்தில் எத்தனை செயலில் SYNC_REC கள் நிகழ்கின்றன என்பதை அறிய இந்த கட்டளை பயனுள்ளதாக இருக்கும். எண்ணிக்கை மிகவும் குறைவாக இருக்க வேண்டும், முன்னுரிமை 5 க்கும் குறைவாக இருக்க வேண்டும். சேவை தாக்குதல்கள் அல்லது அஞ்சல் குண்டுகள் மறுக்கப்படும் சம்பவங்களில், எண்ணிக்கை மிக அதிகமாக இருக்கலாம். இருப்பினும், மதிப்பு எப்போதும் கணினி சார்ந்தது, எனவே அதிக மதிப்பு மற்றொரு சேவையகத்தில் இயல்பாக இருக்கலாம்.

netstat -n -p | grep SYN_REC | வரிசைப்படுத்த -u

சம்பந்தப்பட்டவர்களின் அனைத்து ஐபி முகவரிகளின் பட்டியலையும் உருவாக்கவும்.

netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{print $ 1}'

SYN_REC இணைப்பு நிலையை அனுப்பும் முனையின் அனைத்து தனிப்பட்ட ஐபி முகவரிகளையும் பட்டியலிடுங்கள்.

netstat -ntu | awk '{print $ 5}' | cut -d: -f1 | வரிசை | uniq -c | sort -n

சேவையகத்திற்கு நீங்கள் செய்யும் ஒவ்வொரு ஐபி முகவரியிலிருந்தும் இணைப்புகளின் எண்ணிக்கையை கணக்கிட்டு எண்ணுவதற்கு நெட்ஸ்டாட் கட்டளையைப் பயன்படுத்தவும்.

netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cut -d: -f1 | வரிசை | uniq -c | sort -n

TCP அல்லது UDP நெறிமுறையைப் பயன்படுத்தி சேவையகத்துடன் இணைக்கும் ஐபி முகவரிகளின் எண்ணிக்கை.

netstat -ntu | grep ESTAB | awk '{print $ 5}' | cut -d: -f1 | வரிசை | uniq -c | sort -nr

எல்லா இணைப்புகளுக்கும் பதிலாக ESTABLISHED எனக் குறிக்கப்பட்ட இணைப்புகளைச் சரிபார்த்து, ஒவ்வொரு ஐபிக்கும் இணைப்புகளைக் காண்பி.

netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1

ஐபி முகவரிகளின் காட்சி மற்றும் பட்டியல் மற்றும் சேவையகத்தில் போர்ட் 80 உடன் இணைக்கும் அவற்றின் இணைப்புகளின் எண்ணிக்கை. போர்ட் 80 முதன்மையாக வலை கோரிக்கைகளுக்கு HTTP ஆல் பயன்படுத்தப்படுகிறது.

ஒரு டாஸ் தாக்குதலை எவ்வாறு குறைப்பது

சேவையகம் தாக்கும் ஐபியை நீங்கள் கண்டறிந்ததும், உங்கள் சேவையகத்திற்கான இணைப்பைத் தடுக்க பின்வரும் கட்டளைகளைப் பயன்படுத்தலாம்:

iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT

நெட்ஸ்டாட் மூலம் கண்டுபிடிக்கப்பட்ட ஐபி முகவரிகளுடன் $ IPADRESS ஐ மாற்ற வேண்டும் என்பதை நினைவில் கொள்க.

மேலே உள்ள கட்டளையைச் சுட்ட பிறகு, உங்கள் கணினியைச் சுத்தப்படுத்த அனைத்து httpd இணைப்புகளையும் கொன்று பின்னர் பின்வரும் கட்டளைகளைப் பயன்படுத்தி மறுதொடக்கம் செய்யுங்கள்:

கொல்லல் -கொல்ல httpd

சேவை httpd start # Red Hat அமைப்புகளுக்கு / etc / init / d / apache2 மறுதொடக்கம் # டெபியன் அமைப்புகளுக்கு

மூல: லினுக்சரியா