Nội dung bài viết
Cách kiểm tra server khi bị DDoS
Tổng gian về DDoS
Tấn công từ chối dịch vụ phân tán (DDoS – Distributed Denial Of Service) là kiểu tấn công làm cho hệ thống máy tính hay hệ thống mạng quá tải, không thể cung cấp dịch vụ hoặc phải dừng hoạt động. Trong các cuộc tấn công DDoS, máy chủ dịch vụ sẽ bị “nghẽn’ bởi hàng loạt các lệnh truy cập từ lượng kết nối vô cùng lớn đến từ các truy vấn từ bên ngoài.
Khi số lệnh truy cập quá lớn, máy chủ sẽ quá tải và không còn khả năng xử lý các yêu cầu. Hậu quả là người dùng không thể truy cập vào các dịch vụ trên các trang web bị tấn công DDoS.
PhonuiIT.com sẽ chia sẽ lại một vài lệnh được sưu tầm và sử dụng trên internet để kiểm tra server.
Một số lệnh sử dụng để kiểm tra khi bị DDoS
Đếm lượng connection vào Port 80:
netstat -n | grep :80 |wc -l
Kiểm tra số lượng connection đang ở trạng thái SYN_RECV:
netstat -n | grep :80 | grep SYN_RECV|wc -l
Hiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP:
netstat -an|grep :80 |awk '{print $5}'|cut -d":" -f1|sort|uniq -c|sort -rnNếu muốn kiểm tra IP nào mở nhiều SYN thì thêm vào:
netstat -an|grep :80|grep SYN |awk '{print $5}'|cut -d":" -f1|sort|uniq -c|sort -rnĐối với server có nhiều IP, để kiểm tra IP nào đang bị tấn công:
netstat -plan | grep :80 | awk '{print $4}'| cut -d: -f1 |sort |uniq -cHiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP:
netstat -an | grep ':80' | awk '{print $5}' | sed s/'::ffff:'// | cut -d":" -f1 | sort | uniq -cHiển thị số lượng kết nối mỗi loại
netstat -an | grep :80 | awk '{print $6}' | sort | uniq -c
61 ESTABLISHED 13 FIN_WAIT1 17 FIN_WAIT2 1 LISTEN 25 SYN_RECV 298 TIME_WAIT
Hiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP
watch "netstat -an | grep ':80' | awk '{print \$5}' | sed s/'::ffff:'// | cut -d\":\" -f1 | sort | uniq -c"watch "netstat -an | grep :80 | awk '{print \$6}' | sort | uniq -c"Khi đã phát hiện IP có dấu hiệu bất thường, bạn có thể sử dụng CSF để block IP đó lại.
Hướng dẫn sử dụng CSF khóa IP tấn công
Để block IP bạn sử dụng lệnh
csf -d IP cần block
Ví dụ: csf -d 192.168.100
Để xóa IP bị Block
csf -dr IP
Ví dụ:
csf -dr 192.168.1.100
Để cho phép IP truy cập vào VPS
csf -a IP
Ví dụ:
csf -a 192.168.1.100
Chúc các bạn thực hiện thành công!
