VPS & Linux

Cách kiểm tra server khi bị DDoS, một số lệnh kiểm tra DDoS

Cách kiểm tra server khi bị DDoS

Tổng gian về DDoS

Tấn công từ chối dịch vụ phân tán (DDoS – Distributed Denial Of Service) là kiểu tấn công làm cho hệ thống máy tính hay hệ thống mạng quá tải, không thể cung cấp dịch vụ hoặc phải dừng hoạt động. Trong các cuộc tấn công DDoS, máy chủ dịch vụ sẽ bị “nghẽn’ bởi hàng loạt các lệnh truy cập từ lượng kết nối vô cùng lớn đến từ các truy vấn từ bên ngoài.

Khi số lệnh truy cập quá lớn, máy chủ sẽ quá tải và không còn khả năng xử lý các yêu cầu. Hậu quả là người dùng không thể truy cập vào các dịch vụ trên các trang web bị tấn công DDoS.



Nên xem:
Cấu trúc thư mục Linux ( CentOS, Ubuntu…)
Hướng dẫn cài đặt Vesta control panel cho VPS/Server
Cách sửa lỗi “Internal Server Error” khi chuyển website qua hosting khác
Cách tạo Sudo User trên Centos 7 + Cài đặt MySQL
Sửa lỗi PHP Fatal Error: Allowed Memory Size Exhausted

PhonuiIT.com sẽ chia sẽ lại một vài lệnh được sưu tầm và sử dụng trên internet để kiểm tra server.

Cách kiểm tra server khi bị DDoS



Một số lệnh sử dụng để kiểm tra khi bị DDoS

Đếm lượng connection vào Port 80:

netstat -n | grep :80 |wc -l

Kiểm tra số lượng connection đang ở trạng thái SYN_RECV:

netstat -n | grep :80 | grep SYN_RECV|wc -l

Hiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP:

netstat -an|grep :80 |awk '{print $5}'|cut -d":" -f1|sort|uniq -c|sort -rn

Nếu muốn kiểm tra IP nào mở nhiều SYN thì thêm vào:

netstat -an|grep :80|grep SYN |awk '{print $5}'|cut -d":" -f1|sort|uniq -c|sort -rn

Đối với server có nhiều IP, để kiểm tra IP nào đang bị tấn công:

 

Azdigi

netstat -plan | grep :80 | awk '{print $4}'| cut -d: -f1 |sort |uniq -c

Hiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP:

netstat -an | grep ':80' | awk '{print $5}' | sed s/'::ffff:'// | cut -d":" -f1 | sort | uniq -c

Hiển thị số lượng kết nối mỗi loại

netstat -an | grep :80 | awk '{print $6}' | sort | uniq -c

61 ESTABLISHED 
13 FIN_WAIT1 
17 FIN_WAIT2 
1 LISTEN 
25 SYN_RECV 
298 TIME_WAIT

Hiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP

watch "netstat -an | grep ':80' | awk '{print \$5}' | sed s/'::ffff:'// | cut -d\":\" -f1 | sort | uniq -c"
watch "netstat -an | grep :80 | awk '{print \$6}' | sort | uniq -c"

Khi đã phát hiện IP có dấu hiệu bất thường, bạn có thể sử dụng CSF để block IP đó lại.

Hướng dẫn sử dụng CSF khóa IP tấn công

Để block IP bạn sử dụng lệnh

csf -d IP cần block

Ví dụ: csf -d 192.168.100

Để xóa IP bị Block

csf -dr IP

Ví dụ:

csf -dr 192.168.1.100

Để cho phép IP truy cập vào VPS

csf -a IP

Ví dụ:

csf -a 192.168.1.100

Chúc các bạn thực hiện thành công!

5/5 - (8 bình chọn)



Quản Trị Viên

Đam mê công nghệ, thích tìm hiểu về SEO, Website, MMO.
Cho đi hôm nay, nhận lại ngày mai.

CÓ THỂ BẠN THÍCH
Hướng dẫn fix lỗi acme.sh khi cài đặt SSL Let’s Encrypt
Thay đổi SSH Port của server
Sửa lỗi PHP Fatal Error: Allowed Memory Size Exhausted
Đặt địa chỉ IP tĩnh Ubuntu 19.10
Cấu trúc thư mục Linux ( CentOS, Ubuntu…)
Cài đặt MySQL 8.0 trên CentOS

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *