Resultados 1 a 5 de 5
  1. #1
    Quero ser Guru
    Data de Ingresso
    Apr 2011
    Localização
    Curitiba / Paraná / Brasil
    Posts
    53

    Arrow Verificando se o servidor está sob ataque DDOS

    Olá Pessoal,
    Acesse o SSH e digite o seguinte comando:
    netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

    Esse comando lista todas os ips conectados e a quantidade de vezes que se conectou.
    Se você perceber algum ip (Principalmente Extrangeiro)com muitas conexões (Geralmente algo acima de 200) vc vai e bloqueia no CSF pois e tem grandes chances de ser um possivel ataque.

    Qualquer dúvida estou a disposição.
    RNXTI | Site | Twitter

  2. #2
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Localização
    /sc/rionegrinho
    Posts
    1,036
    Complementando a dica do amigo hostpara, ataque DDoS é caracterizado por diversos IPs (Distributed Denial Of Services).
    No caso de um único IP, seria um DoS

    Portanto esta linha vai identificar um DoS.

    Vale lembrar que a opção SYN_FLOOD no csf ajuda a bloquear nestes casos.
    Alexandre Silva Hostert

    Veezon
    Gerenciamento de Servidores


    http://veezon.com.br
    http://br.linkedin.com/in/alexandreveezon

  3. #3
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Localização
    Rio de Janeiro - RJ
    Posts
    2,291
    E sobre como habilitar o SYN_FLOOD no CSF tem um tutorial meu aqui no fórum:

    http://www.webhostingtalk.com.br/for...os-no-csf-224/

    Só ó título que está errado, o conteúdo está corretíssimo!

  4. #4
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Localização
    /sc/rionegrinho
    Posts
    1,036
    Citação Postado originalmente por tekobr Ver Post
    E sobre como habilitar o SYN_FLOOD no CSF tem um tutorial meu aqui no fórum:

    http://www.webhostingtalk.com.br/for...os-no-csf-224/
    Excelente tutorial teko
    Alexandre Silva Hostert

    Veezon
    Gerenciamento de Servidores


    http://veezon.com.br
    http://br.linkedin.com/in/alexandreveezon

  5. #5
    Membro
    Data de Ingresso
    Apr 2011
    Localização
    Travessa Azevedo 183
    Posts
    14
    Deste modo também funciona tranquilamente(mudando a porta para outros tipos de serviço)

    netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1

    Como normalmente usamos servidores web, também é bom ir no acesslog e:

    cat access_log | awk {' print $1 '} | sort | uniq -c | sort -n

    Mudando para print $2 você obtem outro resultado muito interessante(faça o teste).

    #Claro, isso depende de você sempre parsear os logs, não vá fazer isso em um log de 10 G...
    Atenciosamente,
    Filipe Cifali Stangler
    Arquiteto de Virtualização
    mailto:cifali@kinghost.com.br
    KingHost - Hospedagem de sites

Tags para este Tópico

Permissões de Postagem

  • Você não pode iniciar novos tópicos
  • Você não pode enviar respostas
  • Você não pode enviar anexos
  • Você não pode editar suas mensagens
  •