Estou recebendo DDoSed, e o que devo fazer sobre isso?

Question

Estou recebendo DDoSed, e o que devo fazer sobre isso?

#1 resposta do (14 votos)
#2 resposta do (12 votos)
#3 resposta do (1 votos)

1

No momento, meu servidor está ficando muito ruim e trava. É um servidor dedicado que funcionou completamente bem nos últimos dois dias.

O que esse comando faz?

netstat -n|grep :80|cut -c 45-|cut -f 1 -d ':'|sort|uniq -c|sort -nr|more

Isso é o que eu recebo:

    154 76.217.x.xx
     11 79.51.xx.xxx
     10 174.119.xx.xx
      9 201.230.xxx.xxx
      8 24.184.xx.xxx
      8 127.0.0.1
      6 50.51.xxx.xxx
      6 216.121.xxx.xxx
      4 80.203.xx.xxx
      4 24.186.xxx.xxx
      4 223.25.xx.xxx
      4 119.93.xx.xx

O que significa o número ao lado do IP? Isso significa conexões? Se assim for ... o top IP está me ddsing?

debian linux ddos

por Muazam 05.08.2011 / 16:55

3 respostas

Tags debian linux ddos

Como você pronuncia o Linux? [fechadas] O evento solar atrapalhou minhas impressoras sem fio?

score 14 · Answer 1

netstat imprime conexões de rede
-n mostra o endereço numérico
grep :80 conexões de filtro se conectam à porta 80
cut -c 45- obtém apenas a quarta e quinta coluna
cut -d: -f1 considera o primeiro campo separado por dois pontos
sort | uniq -c classifica por endereço IP e conta os números de endereços únicos IP
sort -rn inverte o tipo numérico

Você pode usar awk em vez de cut -c 45- para obter apenas a quinta coluna:

netstat -n | grep :80 | awk '{ print $5 }' | cut -d: -f1 | sort | uniq -c | sort -rn | head

Sobre o seu resultado, parece normal, sem DDoS. Dê uma olhada em access_log para mais detalhes.

score 12 · Answer 2

Quanta & O DTest explicou o que o comando faz. Todo mundo vai te dizer que algumas centenas de conexões não fazem um DoS (fale comigo quando você tem pelo menos 5-10 mil ), e eu vou expandir isso dizendo que para isso para ser um D Dos, você veria muito mais entradas (provavelmente com muito mais conexões cada uma) do que o que você está mostrando acima.

Quando você tem um problema com um servidor NÃO pule para as causas exóticas (DDoS, Raios Cósmicos, Z0MG H4X0R3D !, etc.) - É provável que você tenha uma abordagem muito mais chata e mundana problema.

Você diz "ele trava" - você quer dizer que todo o servidor trava, entra em pane ou requer uma reinicialização difícil?
Em caso afirmativo, verifique sua RAM ( MemTest86 + ou similar ). Esse é geralmente o problema.

Se não for real, comece a analisar os itens comuns de solução de problemas comuns:

Executar top
- Qual é a média de carga? O que acontece quando você tem um problema?
- Quanto de swap você está usando? Você está usando mais quando você tem um problema? (Se sim, vazamento de memória!)
- Quais programas estão tentando entrar na CPU?
Execute as ferramentas de informações de E / S do seu sistema operacional (não é um cara do Debian, talvez alguém possa listá-las?)
- Você tem limite de disco? (o disco está constantemente usando 100% de sua largura de banda?)
Veja as estatísticas da sua rede
- Você está atingindo um limite de largura de banda do seu provedor de serviços de Internet?
Veja seus programas auxiliares, se aplicável
- Conexões do banco de dados
- Sistemas de arquivos compartilhados
- Qualquer outro recurso que possa estar bloqueado / bloqueado quando você precisar dele

score 1 · Answer 3

O número é o número de entradas únicas para cada ip (gerado por uniq -c )

netstat -n dará a você todo o tráfego de rede atual, que você canaliza para grep :80 , que somente captura conexões em seu servidor da web. Em seguida, recortamos a parte principal da linha com cut -c 45- e, depois, tudo após o IP (começando com os dois pontos) com cut -f 1 -d ':' , depois classificamos, obtemos os IPs únicos com uma contagem ( uniq -c ) e classificá-lo na ordem inversa para que a maioria dos IPs apareça no topo.

Isso não significa necessariamente que você está recebendo DDoS porque a maioria do tráfego é proveniente de um único IP. Alguém pode estar rastreando seu site por conteúdo ou por algum outro motivo.