Một số câu lệnh cơ bản kiểm tra server khi có dấu hiệu bị DDoS

Article ID: 1006
Cập nhật gần nhất: 05 Th09, 2023

– Kiểm tra tình trạng tài nguyên server:

htop

– Đếm số lượng connection vào port 80:

netstat -n | grep :80 |wc -l

– Hiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP:

netstat -an|grep :80 |awk '{print $5}'|cut -d":" -f1|sort|uniq -c|sort -rn 

– Kiểm tra số lượng connection đang ở trạng thái SYN_RECV:

netstat -n | grep :80 | grep SYN_RECV|wc -l 

– Kiểm tra IP nào mở nhiều SYN: 

netstat -an|grep :80|grep SYN |awk '{print $5}'|cut -d":" -f1|sort|uniq -c|sort -rn

– Đối với server có nhiều IP, để kiểm tra IP nào đang bị tấn công:

 netstat -plan | grep :80 | awk '{print $4}'| cut -d: -f1 |sort |uniq -c

– Hiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP:

netstat -an | grep ':80' | awk '{print $5}' | sed s/'::ffff:'// | cut -d":" -f1 | sort | uniq -c

– Hiển thị số lượng kết nối mỗi loại:

netstat -an | grep :80 | awk '{print $6}' | sort | uniq -c 

– Hiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP: 

watch "netstat -an | grep ':80' | awk '{print \$5}' | sed s/'::ffff:'// | cut -d\":\" -f1 | sort | uniq -c"  
watch "netstat -an | grep :80 | awk '{print \$6}' | sort | uniq -c"

Khi đã phát hiện IP có dấu hiệu bất thường, bạn có thể chặn truy cập IP đó lại:

route add IP reject

Ví dụ: route add 192.168.0.123 reject

Article ID: 1006
Cập nhật gần nhất: 05 Th09, 2023
Lần sửa đổi: 3
Lượt xem: 0