Cómo utilizar comandos para comprobar si hay un ataque DDOS en Linux

Un servidor lento puede deberse a muchas cosas, como una mala configuración, secuencias de comandos y hardware deficiente. Pero a veces puede deberse a que alguien inunda tu servidor con un ataque DoS o DDoS.

Cómo utilizar el comando netstat para verificar un ataque DDOS en Linux

El ataque DoS o ataque DDoS es un ataque que intenta hacer que una máquina o recurso de red no esté disponible. El sitio web o servicio objetivo de este ataque generalmente está alojado en un servidor de alta defensa, como un banco, un administrador de red de pagos con tarjeta de crédito o incluso un servidor de nombres de dominio raíz. La implementación de ataques DOS generalmente obliga al objetivo a reiniciar la computadora o. consumen recursos, de modo que ya no pueden proporcionar servicios ni obstaculizar el acceso de los usuarios o invitados.

En este breve artículo, podrás aprender cómo utilizar el comando netstat en la terminal para comprobar tu servidor después de haber sido atacado.

Algunos ejemplos y explicaciones

netstat -na muestra todas las conexiones de red activas conectadas al servidor netstat -an | grep :80 | sort solo muestra las conexiones de red activas conectadas al puerto 80 Conexión de red , 80 es stat -n -p | grep SYN_REC | wc -l Este comando es muy útil para encontrar SYNC_REC activo en el servidor. El número debe ser muy bajo, preferiblemente menos de 5. En ataques de DOS y bombas de correo, este número. puede ser muy alto, sin embargo, el valor generalmente depende del sistema, por lo que un valor alto se puede dividir en partes iguales entre otros servidores. netstat -n -p | grep SYN_REC | n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}' enumera el estado de conexión de todos los diferentes nodos de direcciones IP que envían SYN_REC netstat -ntu | -d: -f1 | uniq -c | sort -n Utilice el comando netstat para contar el número de conexiones al servidor desde cada dirección IP netstat -anp | grep | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n Lista el número de conexiones al servidor usando tcp y udp netstat -ntu | grep awk '{print $5}' | | sort | uniq -c | sort -nr comprueba las conexiones ESTABLECIDAS en lugar de todas las conexiones, lo que puede contar el número de conexiones por ip netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1 |sort|uniq -c|sort -nk 1 muestra y enumera la dirección IP y la cantidad de conexiones conectadas al puerto 80. 80 se usa para HTTP

Cómo mitigar los ataques DDoS

Cuando encuentre un ataque en la IP de su servidor, puede utilizar el siguiente comando para cerrar su conexión:

iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT

Tenga en cuenta que debe usar Reemplace $IPADRESS con el número de IP encontrado por el comando netstat

Después de completar el comando anterior, use el siguiente comando para eliminar todos los comandos stat y ver los ataques DDOS. El uso específico del comando es el siguiente. siguiente:

El código es el siguiente: netstat -na

Muestra todas las conexiones de red activas al servidor

El código es el siguiente: netstat -an | grep :80 | sort

Solo muestra conexiones a 80 La conexión de red activa del puerto del segmento, 80 es stat -n -p|grep SYN_REC | muy útil para encontrar SYNC_REC activo en el servidor. El número debe ser muy bajo, preferiblemente menos de 5.

En ataques de DOS y bombas de correo, este número puede ser muy alto. Sin embargo, el valor suele ser el del sistema. dependiente, por lo que los valores altos se pueden dividir equitativamente entre otros servidores.

Código de la siguiente manera: netstat -n -p | grep SYN_REC |p>

Enumere todas las direcciones IP incluidas. en lugar de simplemente contar.

El código es el siguiente: netstat -n -p | grep SYN_REC awk '{print $5}' | p>Enumera el estado de conexión de todos los diferentes nodos de direcciones IP que envían SYN_REC

El código es el siguiente:netstat -ntu awk '{p

rint $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Utilice el comando netstat para contar el número de conexiones al servidor desde cada dirección IP

Código de la siguiente manera: netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | tcp y udp Número de conexiones al servidor

El código es el siguiente: netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort -nr

Marque las conexiones ESTABLECIDAS en lugar de todas las conexiones, lo que puede determinar el número de conexiones por IP

El código es el siguiente: netstat -plan|grep :80|awk { 'print $5'}|cut -d: - f 1|sort|uniq -c|sort -nk 1

Muestra y enumera la dirección IP y el número de conexiones conectadas al puerto 80. 80 se utiliza como HTTP

Cómo mitigar el ataque ddos

Cuando encuentres la IP que ataca a tu servidor, puedes usar el siguiente comando para cerrar su conexión:

El código es de la siguiente manera: iptables -A INPUT 1 -s $IPADRESS -j DROP /REJECT

Tenga en cuenta que debe reemplazar $IPADRESS