Вопросы Теги

Я получаю DDoSed, и что должно я об этом?

Я верю единственному способу гарантировать, что Ваши снимки допустимы друг против друга, должен завершить работу обоих гостей, взять снимки, затем питание оба VMs назад на снова.

1
задан 5 August 2011 в 19:16
3 ответа

Число является количеством уникальных записей для каждого IP (сгенерированный uniq -c)

netstat -n даст Вам весь текущий сетевой трафик, к которому Вы затем передаете по каналу grep :80, который только захватывает соединения на Вашем веб-сервере. Затем мы отключаем ведущую роль строки с cut -c 45-, и затем все после IP (запускающийся в двоеточии) с cut -f 1 -d ':' затем мы сортируем его, получаем уникального дюйм/с с количеством (uniq -c) и затем отсортируйте его в обратном порядке так, большая часть дюйм/с появляется наверху.

Это не обязательно означает, что Вы получаете DDoS'd, потому что большинство трафика происходит из единственного IP. Кто-то мог бы проверять Ваш сайт для содержания или некоторой другой причины.

2
ответ дан 3 December 2019 в 16:08
  • netstat распечатайте сетевые соединения
  • -n покажите числовой адрес
  • grep :80 соединения фильтра соединяются с портом 80
  • cut -c 45- получите только 4-й и 5-й столбец
  • cut -d: -f1 возьмите первое поле, отдельное двоеточием
  • sort | uniq -c вид IP-адресом и количеством числа уникального IP
  • sort -rn инвертируйте числовой вид

Можно использовать awk вместо cut -c 45- получить 5-й столбец только:

netstat -n | grep :80 | awk '{ print $5 }' | cut -d: -f1 | sort | uniq -c | sort -rn | head

О Вашем результате это кажется нормальным, никакой DDoS. Смотрите на access_log для получения дополнительной информации.

14
ответ дан 3 December 2019 в 16:08

Quanta & DTest объяснила, что делает команда. Все скажут Вам, что несколько сотен соединений не делают DoS, делают (говорите со мной, когда у Вас будет по крайней мере 5-10 тысяч), и я подробно остановлюсь на этом путем высказывания, что для него, чтобы быть DDos Вы видели бы намного больше записей (вероятно, с намного большим количеством соединений каждый), чем, что Вы показываете выше.

Когда у Вас есть проблема с сервером, НЕ переходят к экзотическим причинам (DDoS, Космические лучи, Z0MG H4X0R3D!, и т.д.) - Возможности - Вы, имеют намного более скучную и приземленную проблему.

Вы говорите, "это отказывает" - Вы подразумеваете, что целый сервер запирается, паника или иначе требует "жесткой" перезагрузки?
Если так, проверьте свою RAM (MemTest86 + или подобный). Это обычно - проблема.

Если это не реальный, трудный катастрофический отказ, начинают смотреть на нормальные приземленные объекты поиска и устранения неисправностей:

  • Выполненный top
    • Что загрузка является средней? Что это, когда у Вас есть проблема?
    • Сколько подкачки Вы используете? Вы используете больше, когда у Вас есть проблема? (Если так, утечка памяти!)
    • Какие программы пытаются войти в ЦП?
  • Выполните диск своей операционной системы инструменты информации о вводе-выводе (Не парень Debian, возможно, кто-то может перечислить их?)
    • Вы - связанный диск? (диск постоянно использует 100% своей пропускной способности?)
  • Посмотрите на свою статистику сети
    • Вы поражаете ограничение пропускной способности от своего ISP?
  • Посмотрите на свои вспомогательные программы, если применимо
    • Соединения с базой данных
    • Совместно используемые файловые системы
    • Любой другой ресурс, который может блокироваться/блокироваться, когда Вам нужен он
12
ответ дан 3 December 2019 в 16:08

Теги

Похожие вопросы