Một số lệnh cơ bản kiểm tra server khi bị DDoS

13/05/2015 Luân Trần Bảo mật 12,826 Views 30 CommentsMột số lệnh cơ bản kiểm tra server khi bị DDoS Học VPS / Bảo mật / Một số lệnh cơ bản kiểm tra server khi bị DDoS  Tấn công từ chối

Trang 1

13/05/2015 Luân Trần Bảo mật 12,826 Views 30 Comments

Một số lệnh cơ bản kiểm tra server khi bị

DDoS

Học VPS / Bảo mật / Một số lệnh cơ bản kiểm tra server khi bị DDoS



Tấn công từ chối dịch vụ phân tán (DDoS – Distributed Denial Of Service) là kiểu tấn công làm

cho hệ thống máy tính hay hệ thống mạng quá tải, không thể cung cấp dịch vụ hoặc phải dừng

hoạt động Trong các cuộc tấn công DDoS, máy chủ dịch vụ sẽ bị “ngập” bởi hàng loạt các lệnh

truy cập từ lượng kết nối khổng lồ

Khi số lệnh truy cập quá lớn, máy chủ sẽ quá tải và không còn khả năng xử lý các yêu cầu Hậu

quả là người dùng không thể truy cập vào các dịch vụ trên các trang web bị tấn công DDoS

Mình xin chia sẻ lại bài của BKNS, giới thiệu một số lệnh cơ bản để kiểm tra server trong trường

hợp này

ĐĂNG KÝ BẢN TIN HỌC VPS

ĐĂNG KÝ NGAY

Forum hỏi đáp Học VPS

Nhận kiến thức mới, thủ thuật hay trực tiếp qua email.

Địa chỉ email của bạn

Vultr đang nhân đôi tài khoản, miễn phí tới 103$ Xem ngay   Học VPS Kiến thức quản trị VPS, Server Bắt đầu / Series  / Coupon / Hỏi đáp / Dịch vụ / Liên hệ

Trang 2

– Đếm lượng connection vào Port 80:

netstat ‐n | grep :80 |wc ‐l

– Kiểm tra số lượng connection đang ở trạng thái SYN_RECV:

netstat ‐n | grep :80 | grep SYN_RECV|wc ‐l

– Hiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP:

netstat ‐an|grep :80 |awk '{print $5}'|cut ‐d":" ‐f1|sort|uniq ‐c|sort ‐rn

– Nếu muốn kiểm tra IP nào mở nhiều SYN thì thêm vào:

netstat ‐an|grep :80|grep SYN |awk '{print $5}'|cut ‐d":" ‐f1|sort|uniq ‐c|sort ‐rn

– Đối với server có nhiều IP, để kiểm tra IP nào đang bị tấn công:

netstat ‐plan | grep :80 | awk '{print $4}'| cut ‐d: ‐f1 |sort |uniq ‐c

– Hiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP:

netstat ‐an | grep ':80' | awk '{print $5}' | sed s/'::ffff:'// | cut ‐d":" ‐f1 | sort | uniq ‐c

– Hiển thị số lượng kết nối mỗi loại

netstat ‐an | grep :80 | awk '{print $6}' | sort | uniq ‐c

6 20

7 13 6 33 1 25 18 7 9 3 5 4 13

Apache Bảo mật Bash Shell Script Basics

Blog CentOS Control Panels Database Đánh giá LAMP LEMP Mail Server Nginx Providers Digital Ocean

HocVPS Script

Related Posts:

1 Lệnh kiểm tra các thông số VPS Linux

3 21 câu lệnh Linux phải nhớ

4 Kiểm tra và mở port VPS trên CentOS

3 11 13 16 13 1 7

Ramnode Vultr Thủ thuật Tối ưu server Ubuntu Video WordPress

Hướng dẫn cài đặt Sentora

Cài đặt Windows 7 trên VPS Vultr

Tổng hợp Windows ISO cài trên Vultr

Hướng dẫn cài đặt LEMP (Linux, Nginx, MariaDB, PHP) trên CentOS

Cài đặt và Quản lý server

dễ dàng với HocVPS Script Cấu hình tối ưu cho VPS, 2GB RAM được 4.363 người Online

Bài nổi bật

Trang 4

 Reply

mình đang cần

Du 22

25/05/2015 at 8:08 pm

Dấu hiệu nào để mình biết là bị ddos bác ơi Em đang cần quá Em đang bị DDos hay sao ấy Gói 10$ mà có 80 On là max cpu Reset lên đc 180 là lại nằm Bác chỉ em các nhận biết với

 Reply

Du 22

25/05/2015 at 8:18 pm

Em thấy có ip kết nối nhiều nhất là 15 có nên ban ip này ko ạ Hoặc bao nhiêu kết nối thì nên ban ạ

Luân Trần Admin

25/05/2015 at 10:28 pm

Để phát hiện khá là khó, mình không thể hướng dẫn cụ thể được Hôm vừa rồi update cái plugin Google Authenticator bị 1 loạt request vào ♛岅le

admin‐ajax.php, cứ tưởng bị DDoS cơ mà mày mò cả ngày xong mới phát hiện ra được vấn đề @@



VPS nên dùng

Trang 5

 Reply

Nguyễn Đức Anh 10

04/06/2015 at 9:33 pm

mình cũng bị đánh dos liên tục, dùng cả tường lửa vps và tường lửa của code website mà vẫn không ăn thua Ai có mưu kế gì bày mình đỡ dos với

 Reply

Minh Cuong 6

04/09/2015 at 12:48 am

Hình như mình cũng bị như cậu, cậu có cách giải quyết gì hướng dẫn mình vs, mình cài plugin seo của yoast



 Reply

Luân Trần Admin

04/09/2015 at 10:37 am

Mình disable plugin đó đi, đợi bản update mới



 Reply

Luân Trần Admin

05/06/2015 at 8:35 am

Bạn phân tích như thế nào để biết được đang bị DDoS, nhiều khi do plugin

WP làm cho hệ thống quá tải đó



Trang 6

 Reply

Nguyễn Đức Anh 10

05/06/2015 at 4:28 pm

thông thường cpu trên vps và ram lên cực điểm, làm treo hệ thống cho đến khi mình reset lại vps kêt cả mình sử dụng code tự reset lại mysql khi cpu hoạt động trên 80% mà vẫn bị Code mình dùng vbb 4.2

Lão Còi 6

07/06/2015 at 8:35 pm

Bác Luân cho em hỏi, em kiểm tra thì nó trả về IP của VPS có số lượng kết nối lớn nhất, gần 500 lận Vậy là sao hả bác? Còn 1 số IP khác khoảng 20 như vậy có phải là cao không?

 Reply

Luân Trần Admin

06/06/2015 at 4:01 pm

Việc CPU và RAM cao cực điểm như bạn nói ko thể nào chứng minh được VPS đang bị DDoS, có thể do code của bạn nặng, online hoặc visit nhiều dẫn đến quá tải

Mình nghiêng về giải pháp tối ưu server, code và nâng cấp RAM/CPU đi



 Reply

Luân Trần Admin



Trang 7

 Reply

nguyễn văn chiến 1

18/08/2015 at 11:59 am

của em bị những 5000 lượt truy cập dơ web luôn bị tấn công vào cổng 80 nhờ các bác tư vấn giúp em với, và em đang muốn vào kiểm tra ip tấn công và cách thức ddos trên direct admin thì vào theo từng bước hướng dẫn giúp em với thank các bác

nguyễn tiến thành 1

19/08/2015 at 9:31 pm

của em khi kiểm tra netstat -n | grep :80 |wc -l lên đến 628 vào kiểm tra bruce monitor trong directadmin thì thấy nhiều địa chỉ ip tấn công cao nhất là 100000 lần login failue

vào wp-admin thì toàn báo lỗi quá tải error etablishing database connection

07/06/2015 at 11:29 pm

Bác check lại access log ♛岅le xem những ip đó đang request đến ♛岅le nào, có thường xuyên không?

 Reply

Luân Trần Admin

20/08/2015 at 10:09 am



Trang 8

 Reply

Nguyen Thu 1

08/09/2015 at 9:42 pm

Anh Luân ơi, em hỏi chút, server em đặt cổng là 8121 thì khi em check netstat -n | grep :80 |wc -l với port 80 thì nó ra số 320 nhưng GA thống kê online thì chỉ có 60 thì có gọi là bất thường ko à?

Tiến Thịnh 21

19/11/2015 at 1:44 pm

Bác luân cho em hỏi tự nhiên dạo này site em ăn cpu rất kinh, vẫn là mã nguồn đó trước có lúc online 500 vẫn chỉ hết 50% cpu thôi mà giờ online 200 nhiều lúc đã hết cpu rồi

Cpu(s): 12.8%us, 28.4%sy, 0.0%ni, 28.8%id, 0.0%wa, 0.0%hi, 0.2%si, 29.8%st

Bạn check xem các request tấn công có gì đặc biệt không? Check trong access.log

 Reply

Luân Trần Admin

08/09/2015 at 10:00 pm

Mỗi con số được tính toán khác nhau, nên bạn không thể nào so sánh 2 cái được đâu



Trang 9

Cái chỉ số %st và %sy này lên rất cao, dạo gần đây site em thường xuyên bị lỗi 502

em chạy gói 4cpu của ramnode đây mà, gõ lệnh top -c thì ra

25497 nginx 20 0 555m 33m 19m S 24.5 3.3 0:24.24 php-fpm: pool www

1991 mysql 20 0 799m 127m 4028 S 17.2 12.8 2845:56 /usr/sbin/mysqld – basedir=/usr

25513 nginx 20 0 558m 37m 23m R 16.9 3.8 0:18.95 php-fpm: pool www

15124 nginx 20 0 664m 64m 21m S 15.5 6.5 43:52.76 nginx: worker process

25484 nginx 20 0 557m 43m 30m D 9.6 4.4 0:21.42 php-fpm: pool www

25478 root 20 0 548m 8192 1116 S 2.3 0.8 0:01.35 php-fpm: master process (/etc/ph

Trang 10

 Reply

Chủ yếu là thằng php-fpm: pool www ăn hết cpu anh ạ, có cách nào giải quyết không

Mak Job 1

30/11/2015 at 7:52 am

Mình dùng lệnh “netstat -n | grep :80 | grep SYN_RECV|wc -l” thấy có một IP có 50 kết nối, như thế có phải là đang bị ddos không Luân nhỉ? nhưng server kiểm tra thì vẫn ok

Chí 2

 Reply

Luân Trần Admin

19/11/2015 at 4:31 pm

Check lại xem có visit lạ, hoặc bị DDoS gì đó ko nhé?



 Reply

Luân Trần Admin

30/11/2015 at 9:29 am

Chưa chắc nó là DDoS nhé bạn, cần xem request cụ thể của IP đó như thế nào trong access.log thì mới chắc được



Trang 11

 Reply

10/01/2016 at 10:40 am

sao mình gõ lệnh đó mà lại bị command not found nhỉ

Phong 1

02/04/2016 at 9:38 am

Đơn vị cho thuê server vừa gửi thông báo : Server của mình đi tấn công server khác qua UDP port 53 Vậy làm sao để kiểm tra được tình trạng này ? Nhờ các bạn giúp đỡ

nguyen khoa 4

10/06/2016 at 12:08 am

Các anh chị hướng dẫn em mở ♛岅le access.log tren hocvps với em không sao mở được ♛岅le đó

 Reply

Luân Trần Admin

10/01/2016 at 4:01 pm

Có thể VPS chưa cài netstat, bạn hãy cài thêm thôi



Trang 12

 Reply

Luân Trần Admin

10/06/2016 at 11:15 am

Bạn edit lại nội dung ♛岅le cấu hình: /etc/nginx/conf.d/domain.com.conf rồi restart lại nginx là ok



 Reply

nguyen khoa 4

11/06/2016 at 2:27 am

em không tìm thấy nó nằm ở đâu ạ, a chỉ đường dẫn tới access.log giúp em xin cám ơn

nguyen khoa 4

11/06/2016 at 2:29 am

em bị ip này 103.237.144.212 tấn công ddos , a hướng dẫn em chặn nó triệt để được không? nó attack 5000



 Reply

Luân Trần Admin

13/06/2016 at 4:15 pm

Bạn dùng luôn lệnh này để block ip:

iptables ‐A INPUT ‐s 1.2.3.4 ‐j DROP



Trang 13

 Reply

khachsancatba.vn 1

08/09/2016 at 11:29 am

Dạo gần đây mình cũng hay thấy trang của mình không truy cập được, nay đọc được bài này thì phải về kiểm tra xem thế nào Thanks admin nhiều !!!

Comment của bạn

Name

Email

Website

Post Comment

*

Trang 14

Xác nhận bạn không phải spam

Luân Trần { Đơn giản là bạn login sai

thôi, dùng account admin nha } – Oct

19, 10:17 PM

Luân Trần { Cái này không quan

trọng đâu, bạn cần thì chọn chức năng

Thêm website để } – Oct 19, 10:16 PM

Luân Trần { Nâng cấp ngay lập tức

đó bạn } – Oct 19, 10:16 PM

dieu { cho minh xin link iso

window10 thanks vanddieu@gmail.com

} – Oct 19, 9:32 PM

Vu Nguyen { Chào Luận ! Khi mình

tạo database xong hết Nó báo lỗi

ERROR 1045 } – Oct 19, 2:18 PM

Xóa hoặc Disable YUM Repo (Repository)

 Rclone – Backup toàn bộ VPS lên Google Drive



[HocVPS Script Plugin] – Tự động sao lưu toàn bộ VPS



Cấu hình tối ưu cho VPS, 2GB RAM được 4.363 người Online



Cấu hình Varnish hoạt động trên 2 port khác nhau

 Tìm kiếm toàn bộ ♛岅le *.PHP trên Linux

 Disable IPv6 trên CentOS



Payoneer Việt Nam Blog Quản Trị Hệ Thống

Liên kết bạn bè

Định dạng
Số trang	14
Dung lượng	408,05 KB