Identificare un attacco DDOS non è mai semplice e proprio per questo motivo abbiamo deciso di realizzare questa guida che consente in pochi semplici passaggi di scoprire tramite il comando Netstat se siamo sotto un attacco DDOS e come è possibile bloccarlo.
Il primo passo da fare è aprire il terminale tramite SSH e digitare il comando:
netstat -anp | grep ‘tcp\|udp’ | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n
In questo modo verranno elencate tutte le connessioni divise per indirizzo IP. Da questo è possibile scoprire quale IP sta facendo un attacco DDOS al nostro Server.
Altri comandi sono:
netstat -na
Questo mostra tutte le connessioni Internet attive al server e sono incluse solo le connessioni stabilite.
netstat -an | grep :80 | sort
Mostra solo le connessioni Internet attive al server sulla porta 80, questa è la porta http e quindi è utile se si dispone di un server web, e ordina i risultati. Utile per individuare un unico flood, consentendo di riconoscere molte connessioni provenienti da un IP.
netstat -n -p|grep SYN_REC | wc -l
Questo comando è utile per scoprire quanti SYNC_REC attivi ci sono sul server. Il numero dovrebbe essere abbastanza basso, preferibilmente meno di 5. Durante gli incidenti o un attacco DoS o bombe di posta elettronica, il numero può diventare piuttosto alto. Tuttavia, il valore dipende sempre dal sistema, quindi un valore elevato può essere la normalità su un server.
netstat -n -p | grep SYN_REC | sort -u
Elenca tutti gli indirizzi IP coinvolti invece di contarli.
netstat -n -p | grep SYN_REC | awk ‘{print $5}’ | awk -F: ‘{print $1}’
Elenca tutti gli indirizzi IP univoci del nodo che stanno trasmettendo lo stato della connessione SYN_REC.
netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n
Utilizza il comando netstat per calcolare e conta il numero di connessioni al server per ogni indirizzo IP.
netstat -anp |grep ‘tcp|udp’ | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n
Elenca il conto del numero di connessioni per gli IP sono collegati al server tramite protocollo TCP o UDP.
netstat -ntu | grep ESTAB | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -nr
Controlla le connessioni stabilite invece di tutti i collegamenti, e visualizza contando le connessioni per ogni IP.
netstat -plan|grep :80|awk {‘print $5’}|cut -d: -f 1|sort|uniq -c|sort -nk 1
Mostra ed elenco gli indirizzi IP ed il numero di connessione che si collegano alla porta 80 del server. La porta 80 è utilizzata principalmente dalle richieste HTTP di una pagina web.