Merhaba
Sunucunuzda kasma var ise ya da ağırlaşmalar var ise öncelikle SSH bağlanıp
komutu ile sitenizdeki ziyaretçi sayısını görebilirsiniz.
Anormal bir sayı çıkıyor ise yine SSH konsoluna
komutunu yazarak hangi IP den ne kadar istek geldiğini görebilirsiniz.
Sunucunuzda kasma var ise ya da ağırlaşmalar var ise öncelikle SSH bağlanıp
netstat -ntu |wc -l
komutu ile sitenizdeki ziyaretçi sayısını görebilirsiniz.
Anormal bir sayı çıkıyor ise yine SSH konsoluna
netstat -ntu|awk '{print $5}'|cut -d: -f1|sort|uniq -c|sort -n
komutunu yazarak hangi IP den ne kadar istek geldiğini görebilirsiniz.
Yanıtlar (2)
-
Onaylanan Yanıt
for i in $(netstat -ntu | awk '{print $5}' | awk '{sub("::ffff:","");print}' | cut -f1 -d ':' | sort | uniq -c | sort -n | grep -v -e server -e Address -e 127.0.0.1 -e 0.0.0.0 | awk '{ if ($1 > 30) print $2 }'); do /usr/sbin/csf -d $i;done
Yukarıda yer alan komut ise 30 rakamından büyük bağlantı sayısı oluşturan tüm ipleri csf firewall yazılımı aracılığı ile banlayarak sunucudan uzaklaştırılır.
Son awk yazılımında yer alan 30 değerini yükselterek limiti arttırabilir yine netstat sonrası grep ekleyerek sıralamayı belirli bağlantı durumlarına göre listeleyebilirsiniz. -
Onaylanan Yanıt
Aşağıdaki komut ile olası bir SYN saldırısını tespit edebilirsiniz.
netstat -np | grep SYN_RECV | awk '{print $5}' | cut -d. -f1-4 | cut -d: -f1 | sort -n | uniq -c | sort -n
Komutu kullandık'dan sonra şayet ki boş çıkıyorsa SYS saldırısı yok demektir. Fakat yanında 2, 5, 78, 345 gibi sayılar olan IP adresleri eğer'ki çıkmaktaysa SYN saldırısı alıyorsunuz.
Yanların'daki sayı ne kadar yüksek ise eğer'ki bu saldırı o kadar şiddetli demektir.
CSF gibi bir firewall ile gelen küçük saldırıları engelleyebilirsiniz.
Lütfen yanıt yazmak için oturum açın.
Yanıt göndermek için oturum açmalısınız. Sağdaki formu kullanarak oturum açın ya da burada yeniyseniz bir hesap açın.
Buradan Kayıt Olun »