Trang chủ » Bảo mật » Một số câu lệnh kiểm tra server khi bị tấn công DDoS

Một số câu lệnh kiểm tra server khi bị tấn công DDoS


 

– Kiểm tra số connection trên port 80:

netstat -n | grep :80 |wc –l

– Kiểm tra số lượng connection đang ở trạng thái SYN_RECV:

 

netstat -n | grep :80 | grep SYN_RECV|wc –l

– Hiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP:

netstat -an|grep :80 |awk '{print $5}'|cut -d":" -f1|sort|uniq -c|sort –rn

Nếu muốn kiểm tra IP nào mở nhiều SYN thì thêm vào:

netstat -an|grep :80|grep SYN |awk '{print $5}'|cut -d":" -f1|sort|uniq -c|sort –rn

– Đối với server có nhiều IP, để kiểm tra IP nào đang bị tấn công:

netstat -plan  | grep  :80 | awk '{print $4}'| cut -d: -f1 |sort |uniq –c

Bài viết trên sẽ có vài trường hợp ra kết quả không đúng nếu như sử dụng kernel mới , IP có dạng ‘::ffff:192.168.1.1:80′ . Để tổng quát hơn các bạn nên dùng như sau cho mọi trường hợp :

– Hiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP:

[root@localhost~]# netstat -an | grep ':80' | awk '{print $5}' | sed s/'::ffff:'// | cut -d":" -f1 | sort | uniq –c

Đồng thời mình bổ xung thêm :
– Hiển thị số lượng kết nối mỗi loại (kiểm tra xem có phải bị SYN_FLOOD hay DDoS hay ko) :

root@localhost [~]# netstat -an | grep :80 | awk '{print $6}' | sort | uniq -c
61 ESTABLISHED
13 FIN_WAIT1
17 FIN_WAIT2
1 LISTEN
25 SYN_RECV
298 TIME_WAIT

Trong trường hợp đang bị tấn công , cần phải quan sát các tham số trên một các real time => dùng lệnh ‘watch’ :

– Hiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP:

[root@localhost~]#watch  "netstat -an | grep ':80' | awk '{print \$5}' | sed s/'::ffff:'// | cut -d\":\" -f1 | sort | uniq -c"

– Hiển thị số lượng kết nối mỗi loại :

root@localhost [~]# watch "netstat -an | grep :80 | awk '{print \$6}' | sort | uniq -c"

Advertisements

Bình luận

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s