youtube ptit google plus ptit twitter ptit

Block IP attack DDOS

 quý khách quản trị sever hay vps cần Kiểm tra xem hệ thống có bị DDOS hay không:
- vui lòng chạy câu lệnh:
netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Câu lện trên sẽ trả về hàng loạt IP chiếm nhiều connection nhất trên server. Cần lưu ý rằng DDOS có thể xuất phát từ một lượng nhỏ connection. Do đó việc kết quả trả về connection thấp bạn vẫn có thể trong tình trạng under attack

netstat -n | grep :80 |wc -l

netstat -n | grep :80 | grep SYN |wc -l

Dòng lệnh thứ nhất trả về số lượng active connection (connection đang hoạt động). Rất nhiều kiểu tấn công DDOS bằng cách mở một kết nối connection lên server rồi không làm gì cả khiến cho server chờ đợi cho đến khi timeout. Nến nếu dòng lệnh thứ nhất trả về trên 500 thì server của bạn rất nhiều khả năng bị DDOS.

Dòng lệnh thứ 2 trả về kết quả trên 100 thì rất nhiều khả năng server bạn trong tình trang syn attack DDOS.

Một số phương pháp khắc phục:

Cách khắc phục nhanh nhất là block các IP chiếm nhiều connection nhất trong “giờ cao điểm”:

Cách 1: chạy lệnh
 route add địa-chỉ-ip reject

vd: route add 192.168.0.168 reject

Kiểm tra bằng lệnh: route -n |grep địa-chỉ-ip

- Cách 2: sử dụng iptables

iptables -A INPUT -s địa-chỉ-ip -j DROP
service iptables save

Sau đó xóa hết tất cả connection hiện hành và khơi động lại service httpd

killall -KILL httpd

service httpd restart