ฉันได้พบบทความที่น่าสนใจมากใน ลินุกซ์เรีย เกี่ยวกับวิธีตรวจสอบว่าเซิร์ฟเวอร์ของเราถูกโจมตีหรือไม่ DDoS (การปฏิเสธการให้บริการแบบกระจาย), หรืออะไรที่เหมือนกัน, การโจมตีการปฏิเสธบริการ.
การโจมตีประเภทนี้เป็นเรื่องปกติธรรมดาและอาจเป็นสาเหตุที่เซิร์ฟเวอร์ของเราค่อนข้างช้า (แม้ว่าจะเป็นปัญหาของเลเยอร์ 8 ก็ตาม) และไม่ต้องแจ้งให้ทราบล่วงหน้า ในการดำเนินการนี้คุณสามารถใช้เครื่องมือ netstatซึ่งช่วยให้เราเห็นการเชื่อมต่อเครือข่ายตารางเส้นทางสถิติอินเทอร์เฟซและชุดข้อมูลอื่น ๆ
ตัวอย่าง NetStat
netstat - นา
หน้าจอนี้จะรวมการเชื่อมต่ออินเทอร์เน็ตที่ใช้งานอยู่ทั้งหมดบนเซิร์ฟเวอร์และเฉพาะการเชื่อมต่อที่สร้างขึ้น
netstat -an | grep: 80 | เรียงลำดับ
แสดงเฉพาะการเชื่อมต่ออินเทอร์เน็ตที่ใช้งานไปยังเซิร์ฟเวอร์บนพอร์ต 80 ซึ่งเป็นพอร์ต http และเรียงลำดับผลลัพธ์ มีประโยชน์ในการตรวจจับน้ำท่วมครั้งเดียว (น้ำท่วม) เพื่อให้สามารถรับรู้การเชื่อมต่อจำนวนมากจากที่อยู่ IP
netstat -n -p | grep SYN_REC | wc -l
คำสั่งนี้มีประโยชน์ในการทราบจำนวน SYNC_REC ที่แอ็คทีฟเกิดขึ้นบนเซิร์ฟเวอร์ จำนวนควรค่อนข้างต่ำควรน้อยกว่า 5 ในกรณีที่มีการปฏิเสธการโจมตีบริการหรือเมล์บอมบ์จำนวนอาจค่อนข้างสูง อย่างไรก็ตามค่านี้ขึ้นอยู่กับระบบเสมอดังนั้นค่าที่สูงอาจเป็นเรื่องปกติในเซิร์ฟเวอร์อื่น
netstat -n -p | grep SYN_REC | เรียง -u
ทำรายการที่อยู่ IP ทั้งหมดของผู้ที่เกี่ยวข้อง
netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{print $ 1}'
แสดงรายการที่อยู่ IP เฉพาะทั้งหมดของโหนดที่กำลังส่งสถานะการเชื่อมต่อ SYN_REC
netstat -ntu | awk '{print $ 5}' | ตัด -d: -f1 | เรียงลำดับ | uniq -c | เรียงลำดับ -n
ใช้คำสั่ง netstat เพื่อคำนวณและนับจำนวนการเชื่อมต่อจากที่อยู่ IP แต่ละรายการที่คุณสร้างไปยังเซิร์ฟเวอร์
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | ตัด -d: -f1 | เรียงลำดับ | uniq -c | เรียงลำดับ -n
จำนวนที่อยู่ IP ที่เชื่อมต่อกับเซิร์ฟเวอร์โดยใช้โปรโตคอล TCP หรือ UDP
netstat -ntu | grep ESTAB | awk '{print $ 5}' | ตัด -d: -f1 | เรียงลำดับ | uniq -c | เรียงลำดับ -nr
ตรวจสอบการเชื่อมต่อที่ทำเครื่องหมาย ESTABLISHED แทนการเชื่อมต่อทั้งหมดและแสดงการเชื่อมต่อสำหรับแต่ละ IP
netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1
แสดงและรายการที่อยู่ IP และจำนวนการเชื่อมต่อที่เชื่อมต่อกับพอร์ต 80 บนเซิร์ฟเวอร์ HTTP ใช้พอร์ต 80 เป็นหลักสำหรับคำขอทางเว็บ
วิธีลดการโจมตีของ DOS
เมื่อคุณพบ IP ที่เซิร์ฟเวอร์กำลังโจมตีคุณสามารถใช้คำสั่งต่อไปนี้เพื่อบล็อกการเชื่อมต่อกับเซิร์ฟเวอร์ของคุณ:
iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT
โปรดทราบว่าคุณต้องแทนที่ $ IPADRESS ด้วยที่อยู่ IP ที่พบด้วย netstat
หลังจากเริ่มคำสั่งข้างต้นแล้วให้ฆ่าการเชื่อมต่อ httpd ทั้งหมดเพื่อล้างระบบของคุณและรีสตาร์ทในภายหลังโดยใช้คำสั่งต่อไปนี้
killall - ฆ่า httpd
บริการ httpd start # สำหรับระบบ Red Hat / etc / init / d / apache2 restart # สำหรับระบบ Debian
Fuente: ลินุกซ์เรีย
Mozilla ถูกบังคับให้เพิ่ม DRM ลงในวิดีโอใน Firefox
http://alt1040.com/2014/05/mozilla-drm-firefox
ฉันรู้ว่ามันไม่มีส่วนเกี่ยวข้องกับโพสต์ แต่ฉันอยากจะรู้ว่าคุณคิดอย่างไรเกี่ยวกับเรื่องนี้ สิ่งที่ดีคือสามารถปิดการใช้งานได้
ผู้ชายสำหรับการอภิปรายคือ ฟอรัม.
ท่านที่เป็นมนุษย์ iproute2 ลอง 'ss' ...
ฉันเห็นด้วยกับ Elav ฟอรัมมีไว้เพื่อบางสิ่ง ... ฉันจะไม่ลบความคิดเห็น แต่โปรดใช้ประโยชน์จากช่องว่างที่จัดไว้ให้สำหรับแต่ละสิ่ง
แทน grep, egrep
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | ตัด -d: -f1 | เรียงลำดับ | uniq -c | เรียงลำดับ -n
โดย
netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | ตัด -d: -f1 | เรียงลำดับ | uniq -c | เรียงลำดับ -n
นี่จะเป็นโครงการที่ฉันจะตั้งขึ้นซึ่งมีความเป็นไปได้มากมายในการเป็นเป้าหมาย DDoS
ขอบคุณมากสำหรับข้อมูลเมื่อเร็ว ๆ นี้การแข่งขันค่อนข้างหนักในเรื่องนี้