07 мар 2012
DDoS – команды, полезные для отражения флуд и ддос-атак.
Dmitrius Категория: Web-Мастеру » Уроки
У нас вы можете скачать бесплатно DDoS – команды, полезные для отражения флуд и ддос-атак.

Данный материал предоставлен сайтом Skripter.info исключительно в ознакомительных целях. Администрация не несет ответственности за его содержимое.
DDoS – команды, полезные для отражения флуд и ддос-атак.


Список команд, полезных для определения ддоса (dDos – отказ в обслуживании) или флуда, а так же для отражения нераспределенных атак.

Посмотреть количество запущенных процессов apache2:

ps aux | grep httpsd  |wc -l


Cколько коннектов на 80 порт:

netstat -na | grep ":80\ " | wc -l


Так-же данным правилом можно просматривать количество активных подключений к любому другому порту например 21,81,53 и.т.д.

Смотрим количество SYN пакетов:

netstat -na | grep ":80\ " | grep syn


Пример SYN-флуда:

netstat -na | grep ":80\ " | grep SYN | wc -l


При отображении статистики данной командой 0 означает что все в норме. Но если будет отображенна например цифра 767 или более то это уже есть SYN-флуд.

Посмотреть много ли разных ай-пи:

netstat -na | grep ":80\ " | grep SYN | sort  -u | more


На какой домен чаще всего идут запросы:

tcpdump -npi eth0 port domain


Статус апача:

apache2ctl status


Посмотреть откуда IP:

whois xxx.xxx.xxx.xxx


или

jwhois xxx.xxx.xxx.xxx


где xxx.xxx.xxx.xxx — интересующий нас IP

Просниферить траф идущий на domain.ru (атакуемый домен) с записью в файл output.txt:

tcpdump -n -i eth0 -s 0 -w output.txt dst port 80 and host domain.ru


dst также можно поменять на src:

tcpdump -n -i eth0 -s 0 -w output.txt src port 80 and host domain.ru


Допустим нашли IP (xxx.xxx.xxx.xxx) с которого много запросов:
tcpdump и там где был атакуемый домен вводим этот IP:

tcpdump -n -i eth0 -s 0 -w output.txt src port 80 and host xxx.xxx.xxx.xxx


С какого IP сколько запросов:

netstat -ntu | awk '{print $5}'| cut -d: -f1 | sort | uniq -c | sort -nr | more


или просто

netstat -na | grep :80 | sort | uniq -c | sort -nr | more


Посмотреть на какие порты идут запросы с атакуемого ip:

netstat -na | grep xxx.xxx.xxx.xxx


где xxx.xxx.xxx.xxx IP атакующего, и блочить начиная с тех, где больше коннектов.

Закрыть доступ для целой подсети IP (xxx.xxx.xxx.xxx), на конкретный протокол(-p) порт(–destination-port) в конкретном направлении(-d или -s:
В одном направлении (-d)

iptables -A INPUT -d xxx.xxx.0.0/16 -p tcp --destination-port https -j DROP


В другом направлении (-s):

iptables -A INPUT -s xxx.xxx.0.0/16 -p tcp --destination-port https -j DROP


Тоже самое, но для конкретного IP (xxx.xxx.xxx.xxx)

iptables -A INPUT -s xxx.xxx.xxx.xxx  -p tcp --destination-port https -j DROP
iptables -A INPUT -d xxx.xxx.xxx.xxx -p tcp --destination-port https -j DROP


Блокировка по всем протоколам и портам, в направления -s и -d:

iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP
iptables -A INPUT -d xxx.xxx.xxx.xxx -j DROP









Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.