Добавил: Amro   Дата: 20.12.2017 06:20

Список команд, полезных для определения ддоса (DDos – отказ в обслуживании) или флуда, а так же для отражения нераспределенных атак.

netstat -ntu | awk ' $5 ~ /^[0-9]/ {print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

netstat -ntu | awk ' $5 ~ /^(::ffff:|[0-9|])/ { gsub("::ffff:","",$5); print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

netstat -ant | awk '/^tcp/ { split($5,IP,":"); CNT[IP[1]]++ }; END { OFS="\t"; for (ip in CNT) { print CNT[ip],ip };}'

# Без сортировки
netstat -ant | awk '/^tcp/ { split($5,IP,":"); CNT[IP[1]]++ }; END { OFS="\t"; for (ip in CNT) { print CNT[ip],ip };}'

# С разбивкой по портам
netstat -nt | awk -F":" '{print $2}' | sort | uniq -c | sort -n

Число коннектов

# Число коннектов на 80 порт:
netstat -na | grep :80 | wc -l
# То же, в статусе SYN
netstat -na | grep :80 | grep syn

Статистика по запросам с группировкой по IP утилита logtop

Установка

sudo apt-get install logtop

Использование

tail -f /var/log/httpd/access_log | awk {'print $1; fflush();'} | logtop

Популярные User-Agent'ы

cat access_log | awk -F\" '{print $6}' | sort | uniq -c | sort -n

iptables - для фильтрации не желательного трафика

Вот так добавляем в фильтр IP

iptables -A INPUT -p tcp --dport 80 -s 95.153.67.144 -j DROP
# если надо блочить IP полностью
iptables -A INPUT -s 95.153.67.144 -j DROP

Вот так смотрим списко уже добавленных

iptables -L -n
iptables -L -n --line-numbers

А вот так убираем из фильтра IP

iptables -D INPUT -s 1.2.3.4 -j DROP
# или удалить по номеру правила
iptables -L -n --line-numbers
iptables -D INPUT 4

А вот так очищаем вообще весь список

iptables -F
comments powered by HyperComments