CentOSサーバがDDOS攻撃を受けたことを確認する方法
1627 ワード
あなたのサーバーにログインしてrootユーザーが次のコマンドを実行し、それを使用してサーバーがDDOSで攻撃されているかどうかを確認できます.
このコマンドは、サーバーに接続されているIPの最大数のリストを表示します.
DDOSは、攻撃者がより少ない接続、より多くのIPの攻撃サーバを使用している場合、サーバが攻撃されたとしても、より複雑になります.重要なのは、現在のサーバのアクティブな接続情報を確認し、次のコマンドを実行することです.
上のコマンドは、サーバーを開いているすべてのアクティブな接続を表示します.
次のコマンドも使用できます.
最初のコマンドから有効な接続の結果は異なりますが、500以上の接続が表示されている場合は、問題があります.
2番目のコマンドの結果が100以上の場合、サーバは同期攻撃される可能性があります.
サーバーを攻撃するIPリストを手に入れると、簡単に止めることができます.
IPまたは他の特定のIPをブロックするために、次のコマンドを構成します.
サーバー上で特定のIPアクセスを組織したら、豆腐を止めるのに有効であることを確認することができます.
次のコマンドを使用します.
また、次のコマンドを使用して、指定したIPをiptablesでブラックアウトすることもできます.
上のコマンドが実行されたら、httpd接続を停止し、httpdサービスを再起動します.
次のコマンドを使用します.
netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort –n
このコマンドは、サーバーに接続されているIPの最大数のリストを表示します.
DDOSは、攻撃者がより少ない接続、より多くのIPの攻撃サーバを使用している場合、サーバが攻撃されたとしても、より複雑になります.重要なのは、現在のサーバのアクティブな接続情報を確認し、次のコマンドを実行することです.
netstat -n | grep :80 |wc –l
上のコマンドは、サーバーを開いているすべてのアクティブな接続を表示します.
次のコマンドも使用できます.
netstat -n | grep :80 | grep SYN |wc –l
最初のコマンドから有効な接続の結果は異なりますが、500以上の接続が表示されている場合は、問題があります.
2番目のコマンドの結果が100以上の場合、サーバは同期攻撃される可能性があります.
サーバーを攻撃するIPリストを手に入れると、簡単に止めることができます.
IPまたは他の特定のIPをブロックするために、次のコマンドを構成します.
route add ipaddress reject
サーバー上で特定のIPアクセスを組織したら、豆腐を止めるのに有効であることを確認することができます.
次のコマンドを使用します.
route -n |grep IPaddress
また、次のコマンドを使用して、指定したIPをiptablesでブラックアウトすることもできます.
iptables -A INPUT 1 -s IPADRESS -j DROP/REJECT
service iptables restart
service iptables save
上のコマンドが実行されたら、httpd接続を停止し、httpdサービスを再起動します.
次のコマンドを使用します.
killall -KILL httpd
service httpd startssl