Cómo utilizar el comando netstat para comprobar si hay ataques DDOS en Linux
Cómo comprobar si hay ataques DDOS usando el comando netstat en Linux
Un ataque DoS o ataque DDoS es un ataque que intenta hacer que una máquina o un recurso de red no esté disponible. El sitio web o servicio objetivo de este ataque suele estar alojado en un servidor de alta defensa, como un banco, un administrador de sitio web de pagos con tarjeta de crédito o incluso un servidor de nombres raíz. La ejecución de un ataque DOS normalmente obliga al objetivo a reiniciar la computadora o consumir recursos para que ya no proporcione servicios o bloquee el acceso a usuarios y visitantes.
En este breve artículo, podrás aprender cómo comprobar el servidor después de un ataque utilizando el comando netstat en la terminal.
Algunos ejemplos y explicaciones
netstat -na muestra todas las conexiones de red activas en el servidor netstat -an | grep: 80 | sort solo muestra las conexiones de red activas para el puerto 80, 80 es stat -n -p | grep SYN_REC | wc -l Este comando es muy útil para encontrar SYNC_REC activo en el servidor. El número debe ser pequeño, preferiblemente menos de 5. En el caso de ataques DOS y bombas de correo, este número puede ser muy alto. netstat -n -p | grep SYN_REC | sort -u enumera todas las direcciones IP incluidas en lugar de simplemente contarlas. netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}' Muestra el estado de conexión de todos los nodos con diferentes direcciones IP que envían SYN_REC netstat -ntu | }' | cut -d: - Utilice el comando netstat para contar el número de conexiones al servidor para cada dirección IP netstat -anp | grep 'tcp|udp' | las conexiones usando tcp y udp Número de conexiones al servidor netstat -ntu | grep ESTAB | verifique las conexiones ESTABLECIDAS, no todas conexiones, que pueden ser Número de conexiones por ip netstat -plan | grep: 80 | awk {'print $5'} | cut -d: -f 1 uniq -c | al puerto 80 Dirección y número de conexiones. .80 para HTTP
Cómo mitigar los ataques DDoS
Cuando encuentres las IP de los servidores atacantes, puedes cerrarlos usando el siguiente comando:
iptables -A INPUT 1 -s $IPADRESS -j DROP/REJ
Tenga en cuenta que debe usar la misma dirección IP que se encontró usando el comando netstat.
Reemplace $IPADRESS con la cantidad de IP encontradas usando el comando netstat
Después de completar el comando anterior, use el siguiente comando para eliminar todos los comandos estadísticos para ver los ataques DDOS. El uso específico del comando es el siguiente:
Código como sigue: netstat -na
Muestra todas las conexiones de red activas conectadas al servidor
El código es como sigue: netstat -an | grep: 80 |
Solo muestra las conexiones al puerto de 80 segmentos de las conexiones de red activas, 80 es stat -n -p | grep SYN_REC |p>
Este comando es útil para encontrar los SYNC_REC activos en el servidor. , el número debe ser muy pequeño, preferiblemente
En el caso de ataques DOS y bombas de correo, este número puede ser muy alto. Sin embargo, el valor suele depender del sistema, por lo que los valores altos pueden distribuirse uniformemente entre otros servidores.
El código es el siguiente: netstat -n -p | grep SYN_REC | sort -u
Enumera todas las direcciones IP incluidas en lugar de solo contarlas.
El código es el siguiente: netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'
Listar todos los mensajes que envían SYN_REC El estado de conexión de nodos con diferentes direcciones IP
El código es el siguiente: netstat -ntu | awk '{print $5}' | sort -n
Utilice el comando netstat para contar el número de conexiones de cada dirección IP al servidor
El código es el siguiente: netstat -anp | grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | uniq -c | sort -n
Lista el número de conexiones al servidor usando tcp y udp >El código es el siguiente: netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d:-f1 | uniq -c | todas las conexiones, puede ser el número de conexiones por IP
El código es el siguiente: netstat -plan | grep :80 | awk {'print $5'} | uniq -c |sort -nk 1
Muestra y enumera puertos 80 direcciones IP y número de conexiones. 80 para HTTP
Cómo mitigar los ataques DDoS
Cuando encuentres la IP del servidor atacante, puedes usar el siguiente comando para apagarlos:
El código es el siguiente: iptables - A INPUT 1 -s $IPADRESS -j DROP/REJ
Tenga en cuenta que debe reemplazar $IPADRESS con la cantidad de IP encontradas usando el comando netstat.