– root@injetionsec:~#

Verificar DDoS no linux – netstat

09.06.2014 (8:15 pm) – Filed under: Linux ::

Seu servidor aparentemente esta muito lento pode ser muitas coisas de configs erradas, scripts e hardware duvidoso  e muitas vezes alguém inundando com tráfego com os conhecidos ataques de DoS (Denial of Service) ou DDoS (Distributed Denial of Service),com o comando netstat podemos ver conexões de impressão de rede, tabelas de roteamento, estatísticas de interface, conexões mascaradas e participações em multicast e etc.

netstat -na

Mostra todas as conexões de net ativas no servidor e somente as conexões estabelecidas.

netstat -an | grep : 80 | sort

Mostrar apenas ligações ativas na internet no servidor na porta 80, permiti reconhecer muitas conexões provenientes de um IP.

netstat -n -p | grep SYN_REC | wc -l

Esse comando é útil para descobrir quantos SYNC_REC ativos estão ocorrendo no servidor,este número deve ser muito baixo de preferência inferior a 5,no entanto esse valor depende sempre do sistema.

netstat -n -p | grep SYN_REC | sort -u

Liste os todos os endereços IP envolvidos em vez.

netstat -n -p | grep SYN_REC | awk ‘{print $ 5}’ | awk -F: ‘{print $ 1}’

Listar todos os endereços IP únicos nó que está enviando o status da conexão SYN_REC.

netstat -NTU | awk ‘{print $ 5}’ | cut -d: -f1 | sort | uniq -c | sort -n

Esse comando netstat  calcula e contar o número de conexões de cada endereço IP faz com o servidor.

netstat -anp | grep ‘tcp | udp’ | awk ‘{print $ 5}’ | cut -d: -f1 | sort | uniq -c | sort -n

Lista a contagem de número de conexões dos IPs são conectados ao servidor utilizando protocolo TCP ou UDP.

netstat -ntu | grep estable | awk ‘{print $ 5}’ | cut -d: -f1 | sort | uniq -c | sort -nr

Mostra todas as conexões estabelecidas em vez de todas as conexões, e exibe as conexões de contar para cada IP.

netstat -plan | grep : 80 | awk { ‘print $ 5’ } | cut -d: -f 1 | sort | uniq -c | sort -nk 1

Mostra um lista de endereços IP com sua contagem de conexão que estão conectados á porta 80 no servidor