Cómo comprobar si su servidor Linux está bajo ataque DDOS
Un ataque de denegación de servicio (ataque DoS) o un ataque distribuido de denegación de servicio (ataque DDoS) es un ataque en el que los recursos del servidor dejan de estar disponibles para los usuarios previstos. Hay un comando rápido a través del cual puede verificar si su servidor está bajo ataque DDOS o no.
netstat-anp / grep ‘tcp \ / udp | / awk’ {print 5 5} | / cut-d: -f1 | sort / uniq-c / sort-n
Este comando le mostrará la lista de IP que han iniciado sesión con el número máximo de conexiones a su servidor.
También debe recordar que los ataques ddos se vuelven más complejos a medida que los atacantes usan menos conexiones con más IP atacantes. En tales casos, obtendrá menos conexiones incluso cuando su servidor esté bajo ddos.
Una cosa importante que debe verificar es el número de conexiones activas que tiene actualmente su servidor.
netstat-n / grep :80 / wc-l
El comando anterior mostrará las conexiones activas que están abiertas a su servidor.
netstat – n / grep: 80 / grep SYN / wc-l
Hay muchos atacantes presentes que normalmente inician un ataque iniciando una conexión con el servidor y luego no envían una respuesta haciendo que el servidor espere hasta que se agote el tiempo. El resultado de las conexiones activas del primer comando variará, pero si muestra conexiones más de 500, entonces definitivamente tendrá problemas. Si el resultado después de disparar el segundo comando es 100 o superior, entonces está teniendo problemas con el ataque de sincronización.
Incluso puede bloquear una IP en particular en su servidor. Si desea bloquear una IP en particular en el servidor, puede usar el siguiente comando
route add ipaddress reject
Aquí hay un ejemplo de cómo bloquear una IP en particular en el servidor
por ejemplo:
route add 115.98.0.55 reject
Una vez que bloquea una IP paricular en el servidor, incluso puede verificar si la IP está bloqueada o no mediante el siguiente comando.
dirección IP de route-n |grep
También puede bloquear una IP con iptables en el servidor mediante el siguiente comando.
iptables-A INPUT 1-s IPADRESS-j DROP / REJECT
service iptables restart
service iptables save
Después de ejecutar el comando anterior, ELIMINE toda la conexión httpd y reinicie el servicio httpd utilizando el siguiente comando:
killall-KILL httpd
service httpd startssl
De esta manera puede comprobar si su servidor Linux está bajo ataque DDOS o no.
¡También consulte nuestros Servicios en la Nube hoy mismo !