主页 / user-574600

Kalib Zen's questions

Martin Hope
Kalib Zen
Asked: 2020-05-20 12:38:49 +0800 CST
  • 3

当我的服务器速度很慢时,我被告知运行此命令并检查是否有人发出 SYN_RECV 请求以减慢我的服务器速度:

netstat -npt  | grep SYN_RECV | awk '{print $5}' | grep -Eo '([0-9]{1,3}\.){3}[0-9]{1,3}' | cut -d: -f1 | sort | uniq -c | sort -nr | head | tee -a $REPORT_FILE

输出示例:

Single attack IP - DOS:
  262 187.7.214.146
  1   95.90.250.96
  1   83.215.15.150
  1   203.160.112.239
  1   124.197.39.213

Multiple attack IPs - DDOS:  
  316 187.7.214.146
  94  187.7.214.96
  44  187.7.214.150
  90  203.160.112.239
  22  203.160.112.222

我在某处读到,如果一个IP的SYN_RECV请求数超过4个,则考虑进行SYN洪水攻击(DOS)。我有几个问题:

1) 当使用这个 netstat 命令时,我们可以声明一个 IP(DOS) 或 IPs (DDOS) 进行攻击的确切数字是多少?如果 IP 是 SYN_RECV 状态的连接,这是否意味着他正在进行 SYN 洪水攻击?可以是假旗吗?

2) SYN_RECV 是 DDOS 攻击者使用的唯一监听状态吗?那么 ESTABLISHED 状态呢?我很困惑,因为其他文章说如果某些外国IP以ESTABLISHED状态连接,那么我的服务器正在受到攻击。什么样的攻击

3) 我问这个问题是因为我想制作一个简单的 bash 脚本,它可以手动报告 IP 是否是攻击者,并且我被告知使用 SYN_RECV 状态来评估攻击者。这是我们唯一可以使用的状态吗?可以认为是安全的 SYN_RECV 值的最小值是多少(不是 DOS 攻击者)?

希望我的问题很清楚。请问我是否有不清楚的地方。

谢谢你,我希望有人能回答这个噩梦。

centos ddos netstat syn
Martin Hope
Kalib Zen
Asked: 2020-05-18 00:12:44 +0800 CST
  • 0

当我在终端中运行此命令时:

netstat -an | egrep ":80|:443" | sort

我得到以下输出:

tcp        0      0 172.104.10.125:48310    172.104.10.125:8081     TIME_WAIT  
tcp        0      0 172.104.10.125:48316    172.104.10.125:8081     TIME_WAIT    
tcp        0      0 172.104.10.125:48428    172.104.10.125:8081     ESTABLISHED
tcp        0      0 172.104.10.125:80       0.0.0.0               LISTEN     
tcp        0      0 172.104.10.125:80       5.111.110.185:23784     SYN_RECV   
tcp        0      0 172.104.10.125:80       89.109.64.166:42690     TIME_WAIT  
tcp6       0      0 ::1:443                 ::                    LISTEN     
tcp        0      0 172.104.10.125:443      60.51.33.253:65270      ESTABLISHED
tcp        0      0 172.104.10.125:443      66.249.79.94:49202      ESTABLISHED
tcp6       0      0 172.104.10.125:8080     172.104.10.125:39668    TIME_WAIT

172.104.10.125 是我的 IP 地址,如何排除上述第 5 列有 '172.104.10.125'、'0.0.0.0' 和 '::' 的结果?因为那些是受信任的本地主机 IP 和协议。

如果我使用这个: 

egrep -v "172.104.10.125|::|0.0.0.0"

它将排除不在第 5 列的所有内容

centos grep netstat
Martin Hope
Kalib Zen
Asked: 2020-05-15 05:11:47 +0800 CST
  • 0

我对sed略知一二。在 /etc/nanorc 我得到了一堆带有注释的设置(例如:)。

#bind ^K setting 1
#bind ^F whereis all
#bind ^J setting 3

所以,我只想注释掉这个设置以在 nano 中启用键 CTRL+D:

#bind ^F whereis all

我试过这个,但似乎它不起作用:

sed -ri "s/#bind ^F whereis all.*$/\bind ^F whereis all/" /etc/nanorc

说真的,我不知道该怎么做。

sed
Martin Hope
Kalib Zen
Asked: 2020-05-14 07:54:24 +0800 CST
  • 0

我决定运行这个命令

iptables-save | tee iptables_backup.conf | grep -v '\-A'

但是我不小心放了一个额外的命令 iptables-restore 并运行了它,现在我的服务器被锁定了。我不能再 SSH:

iptables-save | tee iptables_backup.conf | grep -v '\-A' | iptables-restore

我可以从救援磁盘访问我的服务器并查看所有文件,但是如何恢复上述命令来启动我的服务器?

我正在使用 Centos 8。

iptables centos8