Cum se blochează Denial of Service (DoS) cu null route

In acesr articol gasiti o solutie pentru atacul Denial of Service (DoS) .

Cum se blochează Denial of Service (DoS) cu null route

Daca loadul pe serverul tau este foarte mare si site se incarca greu si nu stii care este problema, atunci trucurile din acest articol te poate ajuta. De retinut ca nu iti va rezolva problema si proteja de orice atac dar cel putin cel care este activ acum si reduce stresul la serverul tau.

1. Load pe server

Pentru a vedea loadul pe server rulam comanda: 

- w - arata loadul pe server

- top - arata loadul si procesele active

- htop -  exact ca top doar ca arata mai multe detalii.

2. Acum aflam cine este conectat pe server cate conexiuni sunt de la fiecare ip. 

Pentru asta rulam comanda de mai jos: Schimbati 80 cu portul pe care primiti trafic, spre exemplu daca aveti tot traficul pe https puneti portul 443, depinde de configuratia la server.

netstat -tn 2>/dev/null | grep :80 | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head

Ne va arata ceva de genul:

Cifrele care sunt inainte de IP sunt numarul de conexiuni. Spre exemplu primul ip are 215 conexiuni la server, ceea ce este foarte mult, asa ca trebuie sa-l blocam.

3. null route

Comanda pentru a da nulle route la ip cu probleme este cea de mai jos. Nu uitati sa rulati pentru fiecare  ip in parte. Schimbati 122.163.226.243 cu ip vostru.

route add 122.163.226.243 gw 127.0.0.1 lo

Aceasta comanda face acelasi lucru:

route add -host 122.163.226.243 reject

4. Verificam daca ip-urile respective au fost adaugate prin comanda de mai jos.

netstat -nr

5. verificam daca loadul la server si-a revenit la normal prin comanda

- w - arata loadul pe server

- top - arata loadul si procesele active

- htop -  exact ca top doar ca arata mai multe detalii.

Verificam daca mai sunt ip-uri cu multe conexiuni la server

netstat -tn 2>/dev/null | grep :80 | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head

6. Cum stergem null route daca vrem la un moment dat.

route delete 122.163.226.243

Tot acest proces e bun sa-l faceti periodic pentru a avea serverul in siguranta.

Daca ai descoperit ip-uri recomanda sa postati in sectiunea comentarii pentru a putea bloca cu totii pe cei care ne ataca sau deschide un topic pe roforum.