miércoles, 12 de octubre de 2016

¿Cómo comprobar si el servidor de Linux está bajo ataque DDOS?

Inicio de sesión al servidor como root y lanza el siguiente comando, que usted puede comprobar si el servidor está bajo ataque DDOS o no mediante:
netstat - anp | grep ' tcp\ | udp' | awk '{impresión $5}' | corte - d:-f1 | tipo | uniq - c | ordenar – n
Este comando le mostrará la lista de IP's que haya iniciado sesión en es el número máximo de conexiones a su servidor. DDoS se hace más compleja como los atacantes usar menos conexiones con el número de IP es atacar. En tales casos, se debe tomar menor número de conexiones incluso cuando el servidor está bajo ddos. Una cosa importante que debe comprobar es el número de conexiones activas que tiene el servidor. Para ejecute el siguiente comando:
netstat - n | grep: 80 | wc-l
El comando anterior mostrará las conexiones activas que están abiertas en su servidor. También puede disparar el siguiente comando:
netstat - n | grep: 80 | grep SYN | wc-l
Dependerá del resultado de las conexiones activas desde el primer comando pero si muestra las conexiones de más de 500, entonces usted definitivamente tendrá problemas. Si el resultado después de fuego de comando segundo es 100 o superior están teniendo problemas con el ataque de la sincronización. Una vez que una idea de la ip a su servidor, usted puede bloquear fácilmente. El siguiente comando para bloquear esa ip o cualquier otro específico de fuego: Ruta agregar dirección IP rechazar Una vez que bloquee un paricular IP en el servidor, incluso puede verifican si la IP está bloqueada o no mediante el comando siguiente:
Route - n | grep IPaddress
También puede bloquear una IP con iptables en el servidor mediante el comando siguiente.
iptables - A INPUT 1 -s IPADRESS -j DROP o rechazar
Service iptables restart
Service iptables save
Después de la cocción el comando anterior, matar toda la conexión httpd y de reiniciar el servicio httpd uso del siguiente comando:
killall -KILL httpd
Service httpd startssl

1 comentario: