نحوه بررسی اینکه سرور لینوکس شما تحت DDOS Attack است یا نه

به سرور خود وارد شوید دستور زیر را اجرا کنید، با استفاده از کد زیر می توانید بررسی کنید که آیا سرور شما تحت حمله DDOS است یا خیر

netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort –n

این فرمان به شما لیستی از آی پی هایی که وارد سرور شده را نشان می دهد که حداکثر تعداد اتصالات سرور شما است.

مدل پیچیده تری از ddos این است که مهاجم با تعداد اتصال های کمتر اما از تعداد آی پی های بیشتری استفاده کند

در چنین مواردی، شما باید گزارش تعداد اتصالات را حتی زمانی که سرور شما در زیر ddos است، دریافت کنید.

برای چک کردن تعداد اتصالات فعالی که سرور در حال حاضر دارد. فرمان زیر را اجرا کنید:

netstat -n | grep :80 |wc –l

دستور بالا ارتباطات فعال موجود بر روی سرور شما را نشان می دهد.

شما همچنین می توانید دستور زیر را اجرا کنید:

netstat -n | grep :80 | grep SYN |wc –l

با اجرای این دستور نتیجه کانکشن های فعال از فرمان اول متفاوت خواهد بود، اگر تعداد کانکشن ها بیش از 500 را نشان دهد، قطعا سرور مورد حمله قرار گرفته است

اگر نتیجه پس از فرمان دوم شما 100 یا بالاتر باشد، شما با همگام سازی حمله مشکل دارید.

اگر شما تشخیص دادید که یک آی پی به سرور شما حمله کرده است به راحتی میتوانید آن آی پی را مسدود کنید

دستور زیر را برای جلوگیری حمله از رنج ip یا هر IP خاص اجرا کنید:

route add ipaddress reject

هنگامی که شما یک IP منحصر به فرد را بر روی سرور مسدود می کنید، اگر حتی IP مسدود شده باشد، مجدد می توانید مسدود کنید

با اجرای کد زیر از وظعیت آی پی مورد نظر مطلع خواهید شد که مسدود هست یا خیر

route -n |grep Ipaddress

شما همچنین می توانید با استفاده از دستور زیر، یک IP را با iptables در سرور مسدود کنید.

iptables -A INPUT 1 -s IPADRESS -j DROP/REJECT
service iptables restart
service iptables save

پس از اجرای فرمان بالا، سرویس httpd مجددا راه اندازی کنید

killall -KILL httpd
service httpd startssl