Я знайшов дуже цікаву статтю в Лінусарія про те, як виявити, чи наш Сервер атакований DDoS (Розподілена відмова в обслуговуванні), Або те саме, Атака відмови в послугах.
Цей тип атак є досить поширеним явищем і може бути причиною того, що наші сервери працюють дещо повільно (хоча це також може бути проблемою рівня 8), і це ніколи не заважає бути попередженим. Для цього можна скористатися інструментом NetStat, що дозволяє нам бачити мережеві підключення, таблиці маршрутів, статистику інтерфейсу та інші серії речей.
Приклади NetStat
нецтат -на
Цей екран включатиме всі активні підключення до Інтернету на сервері та лише встановлені підключення.
netstat -an | grep: 80 | сортувати
Показуйте лише активні підключення до Інтернету до сервера на порту 80, який є портом http, та сортуйте результати. Корисно при виявленні одного потоку (повінь), тож він дозволяє розпізнавати багато з'єднань, що надходять з IP-адреси.
netstat -n -p | grep SYN_REC | wc -l
Ця команда корисна, щоб дізнатись, скільки активних SYNC_REC відбувається на сервері. Кількість повинна бути досить низькою, бажано менше 5. У випадках атак на відмову в службі або вибухів поштою кількість може бути досить великою. Однак значення завжди залежить від системи, тому велике значення може бути нормальним для іншого сервера.
netstat -n -p | grep SYN_REC | сортувати -u
Складіть список усіх IP-адрес тих, хто бере участь.
netstat -n -p | grep SYN_REC | awk '{print $ 5}' | | awk -F: '{print $ 1}'
Перелічіть усі унікальні IP-адреси вузла, які надсилають статус з'єднання SYN_REC.
netstat -ntu | awk '{print $ 5}' | | вирізати -d: -f1 | сортувати | uniq -c | сортувати -n
Використовуйте команду netstat для обчислення та підрахунку кількості підключень від кожної IP-адреси, яку ви робите до сервера.
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | | вирізати -d: -f1 | сортувати | uniq -c | сортувати -n
Кількість IP-адрес, які підключаються до сервера за допомогою протоколу TCP або UDP.
netstat -ntu | grep ESTAB | awk '{print $ 5}' | | вирізати -d: -f1 | сортувати | uniq -c | сортувати -nr
Перевірте підключення з позначкою ВСТАНОВЛЕНО замість усіх з’єднань і покажіть з’єднання для кожного IP.
netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1
Показує і список IP-адрес та їх кількість з'єднань, що підключаються до порту 80 на сервері. Порт 80 використовується в основному HTTP для веб-запитів.
Як пом'якшити атаку DOS
Після того, як ви знайшли IP-адресу, яку сервер атакує, ви можете скористатися наступними командами, щоб заблокувати їх з'єднання з вашим сервером:
iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT
Зверніть увагу, що вам доведеться замінити $ IPADRESS на IP-адреси, знайдені за допомогою netstat.
Після запуску вищевказаної команди, УБІЙТЕ всі з’єднання httpd, щоб очистити систему та перезапустити її пізніше, використовуючи такі команди:
killall -УБИТИ httpd
служба httpd start # Для систем Red Hat / etc / init / d / apache2 restart # Для систем Debian
Фуенте: Лінусарія
Mozilla змушена додавати DRM до відео у Firefox
http://alt1040.com/2014/05/mozilla-drm-firefox
Я знаю, що це не має нічого спільного з постом. Але я хотів би знати, що ви думаєте з цього приводу. Добре, що його можна відключити.
Чоловіче, для дебатів є форуму.
Ви, хто людина iproute2, спробуйте "ss" ...
Я погоджуюсь з Елавом, форум для чогось ... Я не буду видаляти коментар, але, будь ласка, ви повинні використовувати місця, передбачені для кожної речі.
Замість grep, egrep
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | | вирізати -d: -f1 | сортувати | uniq -c | сортувати -n
по
netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | | вирізати -d: -f1 | сортувати | uniq -c | сортувати -n
Це буде для проекту, який я збираюся створити там, де існує багато можливостей стати цілями DDoS
Щиро дякую за інформацію, останнім часом конкуренція дуже важка на цю тему.