Detecção de ataques DDOS com netstat [duplicado]

1

Eu tenho um servidor, hoje carregar do meu servidor com mais de 20, encontrei um comando que detecta conexão viva ao servidor para detecção de DDOS e rejeita IP.

netstat -anp | grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

e o resultado deste comando foi:

  1 109.162.158.160
  1 109.162.192.55
  1 127.0.0.1
  1 206.217.193.220
  1 91.99.170.69
  2 66.197.219.236
  5 213.152.172.169
 32 0.0.0.0
583 

583 conexão sem IP, como posso corrigir esse problema? carga do servidor acima de 20

tnx pela sua ajuda.

    
por Akbar 30.06.2012 / 13:56

1 resposta

7

Provavelmente não foi um ataque de dDOS com esse pequeno nível de IPs conectados.

A linha final representa a saída de netstat -anp , onde não há endereço externo realmente definido. Se a porta ainda não estiver estabelecida, o número da porta será mostrado como um asterisco (*) - prováveis portas UDP.

Existem muitos comandos netstat de uma linha para avaliar conexões

Mostra o número de conexões por estado

netstat -nat | awk '{print $6}' | sort | uniq -c | sort -n

Mostrar todos os IPs conectados

netstat -nat | awk '{ print $5}' | cut -d: -f1 | sed -e '/^$/d' | uniq

Mostrar número de conexões por IP

netstat -atun | awk '{print $5}' | cut -d: -f1 | sed -e '/^$/d' |sort | uniq -c | sort -n

Referido de Cyberciti

    
por 30.06.2012 / 18:44

Tags