Tôi đã tìm thấy một bài báo rất thú vị trong linuxaria về cách phát hiện nếu Máy chủ của chúng tôi đang bị tấn công DDoS (Từ chối dịch vụ phân tán), Hoặc tương tự, Tấn công từ chối dịch vụ.
Loại tấn công này khá phổ biến và có thể là lý do tại sao máy chủ của chúng tôi hơi chậm (mặc dù nó cũng có thể là sự cố của Lớp 8) và nó không bao giờ gây hại khi được báo trước. Để làm điều này, bạn có thể sử dụng công cụ netstat, cho phép chúng tôi xem các kết nối mạng, bảng lộ trình, thống kê giao diện và hàng loạt thứ khác.
Ví dụ về NetStat
netstat -na
Màn hình này sẽ bao gồm tất cả các kết nối Internet đang hoạt động trên máy chủ và chỉ các kết nối đã thiết lập.
netstat -an | grep: 80 | sắp xếp
Chỉ hiển thị các kết nối Internet đang hoạt động với máy chủ trên cổng 80, là cổng http và sắp xếp kết quả. Hữu ích trong việc phát hiện một trận lũ (lũ lụt) vì vậy nó cho phép nhận ra nhiều kết nối từ một địa chỉ IP.
netstat -n -p | grep SYN_REC | wc -l
Lệnh này hữu ích để biết có bao nhiêu SYNC_REC đang hoạt động trên máy chủ. Số lượng nên khá thấp, tốt nhất là ít hơn 5. Trong các sự cố tấn công từ chối dịch vụ hoặc bom thư, con số có thể khá cao. Tuy nhiên, giá trị luôn phụ thuộc vào hệ thống, vì vậy giá trị cao có thể là bình thường trên máy chủ khác.
netstat -n -p | grep SYN_REC | sắp xếp -u
Lập danh sách tất cả các địa chỉ IP của những người có liên quan.
netstat -n -p | grep SYN_REC | awk '{print $ 5}' | awk -F: '{print $ 1}'
Liệt kê tất cả các địa chỉ IP duy nhất của nút đang gửi trạng thái kết nối SYN_REC.
netstat -ntu | awk '{print $ 5}' | cắt -d: -f1 | sắp xếp | uniq -c | sắp xếp -n
Sử dụng lệnh netstat để tính toán và đếm số lượng kết nối từ mỗi địa chỉ IP mà bạn thực hiện với máy chủ.
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cắt -d: -f1 | sắp xếp | uniq -c | sắp xếp -n
Số lượng địa chỉ IP kết nối với máy chủ bằng giao thức TCP hoặc UDP.
netstat -ntu | grep ESTAB | awk '{print $ 5}' | cắt -d: -f1 | sắp xếp | uniq -c | sắp xếp -nr
Kiểm tra các kết nối được đánh dấu ESTABLISHED thay vì tất cả các kết nối và hiển thị các kết nối cho từng IP.
netstat -plan | grep: 80 | awk {'print $ 5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1
Hiển thị và danh sách các địa chỉ IP và số lượng kết nối của chúng kết nối với cổng 80 trên máy chủ. Cổng 80 được sử dụng chủ yếu bởi HTTP cho các yêu cầu Web.
Cách giảm thiểu một cuộc tấn công DOS
Khi bạn đã tìm thấy IP mà máy chủ đang tấn công, bạn có thể sử dụng các lệnh sau để chặn kết nối của chúng với máy chủ của bạn:
iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT
Lưu ý rằng bạn phải thay thế $ IPADRESS bằng các địa chỉ IP đã được tìm thấy bằng netstat.
Sau khi kích hoạt lệnh trên, hãy GIẾT tất cả các kết nối httpd để dọn dẹp hệ thống của bạn và khởi động lại sau bằng các lệnh sau:
giết tất cả -KILL httpd
dịch vụ httpd start # Đối với hệ thống Red Hat / etc / init / d / apache2 restart # Đối với hệ thống Debian
Fuente: linuxaria
Mozilla buộc phải thêm DRM vào video trên Firefox
http://alt1040.com/2014/05/mozilla-drm-firefox
Tôi biết nó không liên quan gì đến bài viết. Nhưng tôi muốn biết bạn nghĩ gì về điều này. Điều tốt là nó có thể được vô hiệu hóa.
Người đàn ông, cho các cuộc tranh luận là diễn đàn.
Bạn là một người đàn ông iproute2, hãy thử 'ss' ...
Tôi đồng ý với Elav, diễn đàn là vì điều gì đó ... Tôi sẽ không xóa bình luận nhưng, làm ơn, hãy tận dụng không gian được cung cấp cho mỗi thứ.
Thay vì grep, egrep
netstat -anp | grep 'tcp | udp' | awk '{print $ 5}' | cắt -d: -f1 | sắp xếp | uniq -c | sắp xếp -n
qua
netstat -anp | egrep 'tcp | udp' | awk '{print $ 5}' | cắt -d: -f1 | sắp xếp | uniq -c | sắp xếp -n
Điều này sẽ dành cho một dự án mà tôi sẽ thiết lập nơi có nhiều khả năng trở thành mục tiêu DDoS
Cảm ơn bạn rất nhiều về thông tin, dạo này thi đấu nặng về đề tài.