Trong thế giới công nghệ, tấn công từ chối dịch vụ phân tán (DDoS – Distributed Denial Of Service) là một chiến thuật làm cho hệ thống máy tính hoặc mạng bị quá tải, từ đó làm gián đoạn hoạt động bình thường hoặc thậm chí làm cho nó phải tạm ngừng hoạt động. Trong các cuộc tấn công DDoS, máy chủ dịch vụ thường phải đối mặt với hàng loạt yêu cầu truy cập đồng loạt từ hàng ngàn hoặc thậm chí hàng triệu kết nối.
Khi số lượng yêu cầu truy cập trở nên quá lớn, máy chủ sẽ không thể xử lý và trở nên quá tải. Kết quả là người dùng không thể truy cập vào các dịch vụ trên trang web đang bị tấn công DDoS.
Dưới đây là một số lệnh cơ bản được giới thiệu bởi BKNS để kiểm tra server trong trường hợp bị tấn công DDoS:
- Đếm số lượng kết nối vào Port 80:
netstat -n | grep :80 | wc -l- Kiểm tra số lượng kết nối đang ở trạng thái SYN_RECV:
netstat -n | grep :80 | grep SYN_RECV | wc -l- Hiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP:
netstat -an | grep :80 | awk '{print $5}' | cut -d":" -f1 | sort | uniq -c | sort -rn- Kiểm tra IP nào mở nhiều kết nối SYN:
netstat -an | grep :80 | grep SYN | awk '{print $5}' | cut -d":" -f1 | sort | uniq -c | sort -rn- Kiểm tra IP đang bị tấn công trên server có nhiều IP:
netstat -plan | grep :80 | awk '{print $4}' | cut -d: -f1 | sort | uniq -c- Hiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP:
netstat -an | grep ':80' | awk '{print $5}' | sed s/'::ffff:'// | cut -d":" -f1 | sort | uniq -c- Hiển thị số lượng kết nối mỗi loại:
netstat -an | grep :80 | awk '{print $6}' | sort | uniq -c- Xem số lượng kết nối từ mỗi IP và loại kết nối:
watch "netstat -an | grep ':80' | awk '{print \$5}' | sed s/'::ffff:'// | cut -d\":\" -f1 | sort | uniq -c"
watch "netstat -an | grep :80 | awk '{print \$6}' | sort | uniq -c"Khi phát hiện IP có dấu hiệu bất thường, bạn có thể sử dụng CSF để chặn địa chỉ IP đó.
