10 marca, 2022

Jak sprawdzić, czy serwer Linux jest objęty atakiem DDoS

atak typu denial-of-service (DoS attack) lub distributed denial-of-service attack (DDoS attack) to atak, w którym zasoby serwera stają się niedostępne dla zamierzonych użytkowników. Istnieje jedna szybka Komenda, za pomocą której możesz sprawdzić, czy twój serwer jest pod atakiem DDOS, czy nie.

netstat-anp |grep 'tcp\|udp’ / awk '{print $5} ’ / cut-d: -F1 | sort / uniq-C / sort-n

to polecenie pokaże Ci listę adresów IP, które zostały zalogowane, czyli maksymalną liczbę połączeń z Twoim serwerem.

powinieneś również pamiętać, że ataki ddos stają się bardziej złożone, ponieważ atakujący używają mniejszej liczby połączeń przy większej liczbie atakujących adresów IP. w takich przypadkach otrzymasz mniejszą liczbę połączeń, nawet jeśli twój serwer jest pod ddos.
jedną ważną rzeczą, którą powinieneś sprawdzić, jest liczba aktywnych połączeń, które obecnie posiada Twój serwer.

netstat – N / grep :80 / wc-l

powyższe polecenie pokaże aktywne połączenia otwarte dla Twojego serwera.

netstat-N | grep :80 | grep SYN |wc-l

jest wielu napastników, którzy zazwyczaj rozpoczynają atak, uruchamiając połączenie z serwerem, a następnie nie wysyłają odpowiedzi, co sprawia, że serwer czeka, aż się skończy. Wynik aktywnych połączeń z pierwszego polecenia będzie się różnić, ale jeśli pokazuje połączenia więcej niż 500, to na pewno będziesz mieć problemy. Jeśli wynik po uruchomieniu drugiego polecenia wynosi 100 lub więcej, to masz problemy z atakiem synchronizacji.

możesz nawet zablokować konkretny adres IP na swoim serwerze. Jeśli chcesz zablokować konkretny adres IP na serwerze, możesz użyć następującego polecenia

route add IPAddress reject

Oto jeden z przykładów jak zablokować konkretny adres IP na serwerze
na przykład:

route add 115.98.0.55 reject

po zablokowaniu paricular IP na serwerze możesz nawet sprawdzić, czy IP jest zablokowany, czy nie, używając następującego polecenia.

route-N |grep IPaddress

Możesz również zablokować adres IP za pomocą iptables na serwerze za pomocą następującego polecenia.

iptables-A INPUT 1-S IPADRESS-j DROP / REJECT
service iptables restart
service iptables save

po uruchomieniu powyższego polecenia zabij wszystkie połączenia httpd, a następnie uruchom ponownie usługę httpd za pomocą następującego polecenia:

killall-KILL httpd
service httpd startssl

w ten sposób możesz sprawdzić, czy Twój serwer Linux jest pod atakiem DDOS, czy nie.

sprawdź również nasze usługi w chmurze już dziś !

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.