Bước 1: Nhận dạng có phải là dos và ddos hay không
kiểm tra lượng tất cả lượng kết nối tới theo port :80
- netstat -n | grep :80 |wc –l
- netstat -n | grep: 80 | grep SYN | wc -l
-> Nếu kết quả lớn hơn bình thường hoặc tăng đột biến thì rất có thể bạn đã bị ddos. Mình không nói chính xác con số, theo một số chuyên gia thì trên 500 connect cùng một lúc thì đã có vấn đề (chưa kiểm chứng)
Bước 2: Nhận biết IP thực hiện tấn công
Kiểm tra IP nào thực hiện nhiều gói SYN_REC:
netstat -n -p | grep SYN_REC | awk ‘{print $5}’ | awk -F: ‘{print $1}’
Hiển thị tất cả IP đang kết nối và số lượng kết nối trên mõi IP:
1 netstat -an|grep :80 |awk ‘{print $5}’|cut -d”:” -f1|sort|uniq -c|sort -rn
Bước 3: Chặn IP đã được phát hiện
Cách 1: Dùng firewall
iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT
khởi động lại dịch vụ để được thực thi.
iptables-save hoặc service iptables save
Cách 2: Cài csf (Nếu bạn biết sử dụng)
csf -d [IP_được nhận diện]
csf -r (restart lai dịch vụ csf để được thực thi ngay lập tức)
Cách 3: Nullroute IP (hố đen vũ trụ)
route add [IP_được nhận diện] gw 127.0.0.1
route add -host [IP_được nhận diện] reject
Cách 4: Nhanh nhất và hiệu quả nhất
shutdown
Bước 5 : Xóa các IP đã thực hiện dos và ddos
killall -KILL httpd
hoặc
killall -9 httpd
khởi động lại dịch vụ httpd (apache)
service httpd restart
Leave a Reply