NetStat: Поради щодо виявлення DDoS-атак

Я знайшов дуже цікаву статтю в Лінусарія про те, як виявити, чи наш Сервер атакований DDoS (Розподілена відмова в обслуговуванні), Або те саме, Атака відмови в послугах.

NetStat для запобігання DDoS-атакам

Цей тип атак є досить поширеним явищем і може бути причиною того, що наші сервери працюють дещо повільно (хоча це також може бути проблемою рівня 8), і це ніколи не заважає бути попередженим. Для цього можна скористатися інструментом NetStat, що дозволяє нам бачити мережеві підключення, таблиці маршрутів, статистику інтерфейсу та інші серії речей.

Приклади NetStat

нецтат -на

Цей екран включатиме всі активні підключення до Інтернету на сервері та лише встановлені підключення.

netstat -an | grep: 80 | сортувати

Показуйте лише активні підключення до Інтернету до сервера на порту 80, який є портом http, та сортуйте результати. Корисно при виявленні одного потоку (повінь), тож він дозволяє розпізнавати багато з'єднань, що надходять з IP-адреси.

netstat -n -p | grep SYN_REC | wc -l

Ця команда корисна, щоб дізнатись, скільки активних SYNC_REC відбувається на сервері. Кількість повинна бути досить низькою, бажано менше 5. У випадках атак на відмову в службі або вибухів поштою кількість може бути досить великою. Однак значення завжди залежить від системи, тому велике значення може бути нормальним для іншого сервера.

netstat -n -p | grep SYN_REC | сортувати -u

Складіть список усіх IP-адрес тих, хто бере участь.

netstat -n -p | grep SYN_REC | awk '{print $ 5}' | | awk -F: '{print $ 1}'

Перелічіть усі унікальні IP-адреси вузла, які надсилають статус з'єднання SYN_REC.

netstat -ntu | awk '{print $ 5}' | | вирізати -d: -f1 | сортувати | uniq -c | сортувати -n

Використовуйте команду netstat для обчислення та підрахунку кількості підключень від кожної IP-адреси, яку ви робите до сервера.

netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | | вирізати -d: -f1 | сортувати | uniq -c | сортувати -n

Кількість IP-адрес, які підключаються до сервера за допомогою протоколу TCP або UDP.

netstat -ntu | grep ESTAB | awk '{print $ 5}' | | вирізати -d: -f1 | сортувати | uniq -c | сортувати -nr

Перевірте підключення з позначкою ВСТАНОВЛЕНО замість усіх з’єднань і покажіть з’єднання для кожного IP.

netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1

Показує і список IP-адрес та їх кількість з'єднань, що підключаються до порту 80 на сервері. Порт 80 використовується в основному HTTP для веб-запитів.

Як пом'якшити атаку DOS

Після того, як ви знайшли IP-адресу, яку сервер атакує, ви можете скористатися наступними командами, щоб заблокувати їх з'єднання з вашим сервером:

iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT

Зверніть увагу, що вам доведеться замінити $ IPADRESS на IP-адреси, знайдені за допомогою netstat.

Після запуску вищевказаної команди, УБІЙТЕ всі з’єднання httpd, щоб очистити систему та перезапустити її пізніше, використовуючи такі команди:

killall -УБИТИ httpd
служба httpd start # Для систем Red Hat / etc / init / d / apache2 restart # Для систем Debian

Фуенте: Лінусарія


7 коментарі, залиште свій

Залиште свій коментар

Ваша електронна адреса не буде опублікований. Обов'язкові для заповнення поля позначені *

*

*

  1. Відповідальний за дані: Мігель Анхель Гатон
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.

  1.   Джеймс_Че - сказав він

    Mozilla змушена додавати DRM до відео у Firefox
    http://alt1040.com/2014/05/mozilla-drm-firefox
    Я знаю, що це не має нічого спільного з постом. Але я хотів би знати, що ви думаєте з цього приводу. Добре, що його можна відключити.

    1.    елав - сказав він

      Чоловіче, для дебатів є форуму.

      1.    MSX - сказав він

        Ви, хто людина iproute2, спробуйте "ss" ...

    2.    нано - сказав він

      Я погоджуюсь з Елавом, форум для чогось ... Я не буду видаляти коментар, але, будь ласка, ви повинні використовувати місця, передбачені для кожної речі.

  2.   Графічна лінія - сказав він

    Замість grep, egrep
    netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | | вирізати -d: -f1 | сортувати | uniq -c | сортувати -n

    по

    netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | | вирізати -d: -f1 | сортувати | uniq -c | сортувати -n

  3.   JuanSRC - сказав він

    Це буде для проекту, який я збираюся створити там, де існує багато можливостей стати цілями DDoS

  4.   Райола править, а не панда - сказав він

    Щиро дякую за інформацію, останнім часом конкуренція дуже важка на цю тему.