FreeBSD

Защита от DDoS с помощью утилиты tcpdump

Например, на сервер идет легкая ddos атака, происходит что-то не то, вы хотите быстро посмотреть масштабность или убедиться, что это DDoS-атака.

Давайте посмотрим:

tcpdump -v -i vr0 dst port 80

После выше набранной команды вы сможете наблюдать список подключений к 80-у порту, чем больше повторных подключений с одинаковых хостов тем вероятнее мы столкнулись с DDoS атакой. Если изменить порт можно проверить есть ли атака на FTP, SSH или другие сервисы которые крутятся на сервере. Добавив ключ -n имена хостов преобразуются в IP адреса.

Запишем вывод tcpdump-a в файл. пакетов 500 хватит.

tcpdump -i vr0 -v -n -c 500 -w attack.log dst port 80

-v простой уровень логирования.
-n преобразуем имена хостов в IP адреса.
-w записываем анализ трафика в файл.
-c количество захваченных пакетов.

Приступим к анализу полученных данных через tcpdump, отпарсим лог следующей командой:

tcpdump -nr attack.log |awk '{print $3}' |grep -oE '[0-9]{1,}.[0-9]{1,}.[0-9]{1,}.[0-9]{1,}' |sort |uniq -c |sort -rn

Если список очень длинный можно ограничить его указав нужное количество выводимых строк:

tcpdump -nr attack.log |awk '{print $3}' |grep -oE '[0-9]{1,}.[0-9]{1,}.[0-9]{1,}.[0-9]{1,}' |sort |uniq -c |sort -rn | head -20

Блокируем IP в фаерволе.

Насколько полезным был этот пост?

Нажмите на звезду, чтобы оценить!

Средний рейтинг 0 / 5. Голосов: 0

Пока оценок нет! Будьте первым, поставь свою оценку этому посту.

Мы сожалеем, что этот пост не был полезен для вас!

Давайте улучшим этот пост!

Расскажите, как мы можем улучшить этот пост?

Теги
Подписаться
Уведомление о
guest

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

0 Комментарий
Inline Feedbacks
View all comments
Back to top button
0
Would love your thoughts, please comment.x
()
x
Close
Close