Как обнаружить DDOS атаки

Приведу примеры просмотра количества активных соединений:

netstat -an | wc -l
netstat -anop
cat /proc/net/ip_conntrack | wc -l
netstat -anp | grep 'tcp\|udp' | cut -d: -f1| sort | uniq -c
netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Примеры просмотра соединений на порт, например 80:

netstat -na | grep :80 | wc -l
netstat -na | grep :80 | grep syn
netstat -na | grep ":80\ " | grep syn
netstat -na | grep ":80\ " | grep SYN | wc -l
netstat -na | grep ":80\ " | grep SYN | sort -u | more
netstat -na | grep ":80\ " | grep SYN_RCVD
netstat -na | grep ":80\ " | sort | uniq -c | sort -nr | less

Определение SYN атаки:

netstat -n --tcp | grep SYN_RECV
netstat -n --tcp | grep SYN_RECV | wc -l

Просмотр количества процессов Apache2:

ps aux | grep apache | wc -l

Статус Apache2:

apachectl status

Просмотреть логи Apache2 /var/log/apache2/error.log, /var/log/apache2/access.log, …
Просмотр в логах количества запросов с ip адресов:

cat /var/log/apache2/access.log | awk '{print $1}' | sort | uniq -c

На какой домен чаще идут запросы:

tcpdump -npi eth0 port domain

Просмотр загрузки сетевых интерфейсов:

sudo cat /proc/net/dev

Просмотр открытых портов:

netstat -na|grep LISTEN
nmap -r -v -O 127.0.0.1

Оставьте комментарий

Добавить комментарий