LinuxサーバーがDDOS攻撃を受けているかどうかを確認する方法
サービス拒否攻撃(DoS攻撃)または分散サービス拒否攻撃(DDoS攻撃)は、サーバーリソースが意図したユーザーに利用できなくなる攻撃です。 サーバーがDDOS攻撃を受けているかどうかを確認できる簡単なコマンドが1つあります。
netstat-anp|grep’tcp|/udp|/awk'{print print5}|/cut-d: -f1|sort|uniq-c|sort-n
このコマンドは、ログインしたIPのリストがサーバーへの最大接続数であることを表示します。
また、攻撃者がより多くの攻撃IPの接続を使用して少ない接続を使用しているようにddosがより複雑になることを覚えておく必要があります.そのような場合,あなたのサーバーがddosの下にある場合でも、接続数が少なくなります.
確認する必要がある重要なことの1つは、サーバーが現在持っているアクティブな接続の数です。
netstat-n|grep :80|wc-l
上記のコマンドは、サーバーに開いているアクティブな接続を表示します。
netstat-n|grep:80|grep SYN|wc-l
多くの攻撃者が存在し、通常はサーバーへの接続を開始して攻撃を開始し、サーバーがタイムアウトするまで待たせる応答を送信しない。 最初のコマンドからのアクティブな接続の結果は異なりますが、500を超える接続が表示されている場合は、間違いなく問題が発生します。 2番目のコマンドを実行した後の結果が100以上の場合、同期攻撃に問題があります。
サーバー上の特定のIPをブロックすることもできます。 サーバー上の特定のIPをブロックする場合は、次のコマンドを使用できます
route add ipaddress reject
サーバー上の特定のIPをブロックする方法の一例を次に示します
:
route add115.98.0.55reject
サーバー上のparicular IPをブロックすると、次のコマンドを使用してIPがブロックされているかどうかをクロスチェックすることもできます。Route-n|grep IPaddress
次のコマンドを使用して、サーバー上のiptablesを使用してIPをブロックすることもできます。
iptables-A INPUT1-s IPADRESS-j DROP/REJECT
service iptables restart
service iptables save
上記のコマンドを実行した後、すべてのhttpd接続を強制終了し、次のコマンドを使用してhttpdサービスを再起動します:
killall-kill httpd
service httpd startssl
このようにして、LinuxサーバーがDDOS攻撃を受けているかどうかを確認できます。
今日もクラウドサービスをチェック!