Identificare un attacco DDOS non è mai semplice e proprio per questo motivo abbiamo deciso di realizzare questa guida che consente in pochi semplici passaggi di scoprire tramite il comando Netstat se siamo sotto un attacco DDOS e come è possibile bloccarlo.
Il primo passo da fare è aprire il terminale tramite SSH e digitare il comando:
netstat -anp | grep ‘tcp\|udp’ | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n
In questo modo verranno elencate tutte le connessioni divise per indirizzo IP. Da questo è possibile scoprire quale IP sta facendo un attacco DDOS al nostro Server.
Altri comandi sono:
netstat -na
Questo mostra tutte le connessioni Internet attive al server e sono incluse solo le connessioni stabilite.
netstat -an | grep :80 | sort
Mostra solo le connessioni Internet attive al server sulla porta 80, questa è la porta http e quindi è utile se si dispone di un server web, e ordina i risultati. Utile per individuare un unico flood, consentendo di riconoscere molte connessioni provenienti da un IP.
netstat -n -p|grep SYN_REC | wc -l
Questo comando è utile per scoprire quanti SYNC_REC attivi ci sono sul server. Il numero dovrebbe essere abbastanza basso, preferibilmente meno di 5. Durante gli incidenti o un attacco DoS o bombe di posta elettronica, il numero può diventare piuttosto alto. Tuttavia, il valore dipende sempre dal sistema, quindi un valore elevato può essere la normalità su un server.
netstat -n -p | grep SYN_REC | sort -u
Elenca tutti gli indirizzi IP coinvolti invece di contarli.
netstat -n -p | grep SYN_REC | awk ‘{print $5}’ | awk -F: ‘{print $1}’
Elenca tutti gli indirizzi IP univoci del nodo che stanno trasmettendo lo stato della connessione SYN_REC.
netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n
Utilizza il comando netstat per calcolare e conta il numero di connessioni al server per ogni indirizzo IP.
netstat -anp |grep ‘tcp|udp’ | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n
Elenca il conto del numero di connessioni per gli IP sono collegati al server tramite protocollo TCP o UDP.
netstat -ntu | grep ESTAB | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -nr
Controlla le connessioni stabilite invece di tutti i collegamenti, e visualizza contando le connessioni per ogni IP.
netstat -plan|grep :80|awk {‘print $5’}|cut -d: -f 1|sort|uniq -c|sort -nk 1
Mostra ed elenco gli indirizzi IP ed il numero di connessione che si collegano alla porta 80 del server. La porta 80 è utilizzata principalmente dalle richieste HTTP di una pagina web.
Con l'arrivo di marzo, gli appassionati di tecnologia e informatica sono chiamati a cogliere le…
Nel 2022 abbiamo discusso dell'innovativo videogioco Autopsy Simulator, che proponeva una simulazione realistica delle autopsie…
Mercedes-AMG sta sviluppando una sportiva elettrica, anticipata dal concept Vision AMG presentato nel maggio del…
Esistono molteplici utilizzi "virtuosi" dell'intelligenza artificiale, ma sono pochi quelli che tengono conto in modo…
Rinnovare il passaporto è diventato un vero e proprio incubo! La difficile situazione per ottenere…
Se avete deciso di abbandonare il vostro spazzolino manuale a favore di uno elettrico, ma…