Ontek Blog

Linux sunucuda DDOS tespiti

Sunucunuza bir IP üzerinden açılan birden fazla bağlantıyı bulmak her zaman işimize yarayabilir. Birçok durumda DDOS saldırısı aldığınızda bir IP üzerinden çoklu bağlantılar olduğunu görürsünüz. Özellikle böyle bir durumda oldukça işinize yarayabilecek bir komut. Örneğin sunucunuzda 50′den fazla bağlantı açan IP’leri listelemek istiyorsunuz. Bu durumda aşağıdaki kodu kullanabilirsiniz;

netstat -n --tcp --udp --numeric-hosts | \
grep -v 127.0.0.1 | \
awk '{if (/(tcp|udp)/) { print $5 }}' | \
sed 's/:.*//' | \
sort | \
uniq -c | \
sort -n | \
awk '{if ($1 > 50) {print "Baglanti Sayisi: "$1"\t"$2; }}'

Komutunu uyguladığınızda aşağıdakine benzer bir çıktı alırsınız; (Tabiki tek IP’den 50 bağlantıdan fazla bağlantı mevcut ise)

Baglanti Sayisi: 56       xx.xx.xx.xx
Baglanti Sayisi: 77       yy.yy.yy.yy
Baglanti Sayisi: 65       zz.zz.zz.zz
Baglanti Sayisi: 94       tt.tt.tt.tt

Sadece IP’leri listelemek istersek bu durumda komutta son satırdaki bölümü şu şekilde değiştirmemiz gerekiyor;

awk '{if ($1 > 50) {print $2; }}

yorum ekle

Your Header Sidebar area is currently empty. Hurry up and add some widgets.