Comment vérifier si votre serveur Linux est sous attaque DDOS
Une attaque par déni de service (attaque DoS) ou une attaque par déni de service distribué (attaque DDoS) est une attaque dans laquelle les ressources du serveur deviennent indisponibles pour les utilisateurs prévus. Il y a une commande rapide via laquelle vous pouvez vérifier si votre serveur est sous attaque DDOS ou non.
netstat-anp/grep ‘tcp\/udp|/awk'{print55}|/cut-d: -f1|sort|uniq-c/sort-n
Cette commande vous montrera la liste des adresses IP qui se sont connectées est le nombre maximum de connexions à votre serveur.
Vous devez également vous rappeler que les attaques ddos deviennent plus complexes car les attaquants utilisent moins de connexions avec plus de nombre d’adresses IP attaquantes.Dans de tels cas, vous obtiendrez moins de connexions même lorsque votre serveur est sous ddos.
Une chose importante que vous devez vérifier est le nombre de connexions actives que possède actuellement votre serveur.
netstat-n/grep :80/wc-l
La commande ci-dessus affiche les connexions actives ouvertes à votre serveur.
netstat-n/grep:80/grep SYN| wc-l
Il y a beaucoup d’attaquants présents qui commencent généralement une attaque en démarrant une connexion au serveur, puis n’envoient pas de réponse, ce qui fait que le serveur attend qu’il expire. Le résultat des connexions actives de la première commande variera, mais s’il affiche des connexions supérieures à 500, vous aurez certainement des problèmes. Si le résultat après le déclenchement de la deuxième commande est de 100 ou supérieur, vous rencontrez des problèmes avec l’attaque de synchronisation.
Vous pouvez même bloquer une adresse IP particulière sur votre serveur. Si vous souhaitez bloquer une adresse IP particulière sur le serveur, vous pouvez utiliser la commande suivante
route add ipaddress reject
Voici un exemple de comment bloquer une adresse IP particulière sur le serveur
par exemple:
route add 115.98.0.55 reject
Une fois que vous bloquez une adresse IP pariculaire sur le serveur, vous pouvez même vérifier si l’adresse IP est bloquée ou non en utilisant la commande suivante.
adresse IP route-n|grep
Vous pouvez également bloquer une adresse IP avec iptables sur le serveur en utilisant la commande suivante.
iptables-A ENTRÉE 1-s IPADRESS-j DROP/REJECT
service iptables restart
service iptables save
Après avoir déclenché la commande ci-dessus, TUEZ toute connexion httpd et redémarrez le service httpd en utilisant la commande suivante:
killall – KILL httpd
service httpd startssl
De cette façon, vous pouvez vérifier si votre serveur Linux est sous attaque DDOS ou non.
Consultez également nos Services Cloud Dès aujourd’hui!