DDOS атаки на VDS

При увеличении нагрузки на сервер (VPS) первым делом требуется определить причину. Возможно, “всё в порядке”, просто сервер не справляется с большим количеством посетителей… А может быть, злоумышленники решили помешать работе

Конечно, от серьёзных DDOS атак защититься таким способом не удастся… А выявить “мелких хулиганов” и предотвратить подвисание сайтов - вполне.

netstat -na
Все активные соединения к серверу в статусе established .

netstat -an | grep :80 | sort
Только активные соединения по 80 порту с сортировкой. Полезно в случае обнаружения простого “flood” и позволяет определить количество подключений с одного IP адреса.

netstat -n -p|grep SYN_RECV | wc -l
Позволяет определить, сколько активных соединений SYN_RECV. Нормальное значение не больше 5. В случае DoS атак или “почтовых-бомб” может резко возрасти. Тем не менее, зависит от особенностей системы.

netstat -n -p | grep SYN_RECV | sort -u
Список всех IP-адресов.

netstat -n -p | grep SYN_RECV | awk '{print $5}' | awk -F: '{print $1}'
Уникальные IP адреса отправляющие SYN_RECV статус.

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
Команда выведет количество соединений к серверу с каждого IP-адреса.

netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
Количество соединений с каждого IP по протоколам TCP/UDP.

netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr
Количество соединений в статусе ESTABLISHED для каждого IP.

netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1
Список IP адресов и количество соединений на 80 порт (HTTP).

Метки: ,

Автор будет признателен, если Вы поделитесь ссылкой на статью, которая Вам помогла:
BB-код (для вставки на форум)

html-код (для вставки в ЖЖ, WP, blogger и на страницы сайта)

ссылка (для отправки по почте)

Добавить комментарий