Seu servidor esta um um pouco lento e não encontrou nada de errado? Às vezes pode ser porque alguém está inundando o seu servidor com o tráfego conhecido como DoS (Denial of Service) ou DDoS (Distributed Denial of Service).

Um ataque de negação de serviço (também conhecido como DoS Attack, um acrônimo em inglês para Denial of Service), é uma tentativa de tornar os recursos de um sistema indisponíveis para os seus utilizadores. Alvos típicos são servidores web, e o ataque procura tornar as páginas hospedadas indisponíveis na WWW. Não se trata de uma invasão do sistema, mas sim da sua invalidação por sobrecarga. Os ataques de negação de serviço são feitos geralmente de duas formas:

• Forçar o sistema vítima a reinicializar ou consumir todos os recursos (como memória ou processamento por exemplo) de forma que ele não possa mais fornecer seu serviço.
• Obstruir a mídia de comunicação entre os utilizadores e o sistema vítima de forma a não se comunicarem adequadamente.

Neste pequeno artigo tentaremos te mostrar alguns comandos úteis que pode te ajudar a identificar e talvez até mesmo parar estes acessos.

Vamos as explicações e exemplos

netstat -na

Este comando exibe todas as conexões de Internet ativas para o servidor e somente conexões estabelecidas são mostradas.

netstat -an | grep :80 | sort

Mostrar apenas as conexões de Internet ativas para o servidor na porta 80, esta é a porta http e por isso é útil se você tiver um servidor web. Isto é útil na detecção de uma única inundação, permitindo-lhe reconhecer muitos acessos provenientes de um IP.

netstat -n -p|grep SYN_REC | wc -l

Este comando é útil para descobrir quantas SYNC_REC ativas estão ocorrendo no servidor. O número deve ser muito baixo, de preferência inferior a 5. Em incidentes de ataque DoS ou bombas de e-mail, o número pode saltar para algo bastante elevado. No entanto, o valor depende sempre do sistema, de modo que um valor elevado poderá ser a média no outro servidor.

netstat -n -p | grep SYN_REC | sort -u

Listar todos os endereços IP envolvidos em vez de apenas contar.

netstat -n -p | grep SYN_REC | awk ‘{print $5}’ | awk -F: ‘{print $1}’

Listar todos os endereços IP únicos que está enviando o status da conexão SYN_RECV.

netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n

Use o comando netstat para calcular e contar o número de conexões de cada endereço IP faz para o servidor.

netstat -anp |grep ‘tcp|udp’ | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n

ou

netstat -plant|egrep -i “established|time_wait|close_wait|syn_recv”|awk ‘{print $5}’|cut -d’:’ -f1|sort|uniq -c|sort -nr|head -n10

Lista as conexões do IPs que estão conectados ao servidor usando protocolo TCP ou UDP.

netstat -ntu | grep ESTAB | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -nr

Verificar as conexões estabelecidas em vez de todas as conexões, e exibe as conexões para cada IP.

netstat -plan|grep :80|awk {‘print $5’}|cut -d: -f 1|sort|uniq -c|sort -nk 1

Mostrar e listar o endereço IP e sua contagem de conexão que esta se conectando à porta 80 do servidor. A porta 80 é utilizada principalmente por solicitação da página HTTP.

Como mitigar um ataque DDOS

Uma vez que você tenha encontrado o(s) IP(s) que esta/estão atacando seu servidor você pode usar os seguintes comandos para bloquear sua conexão com o servidor:

iptables -A INPUT 1 -s ENDEREÇOIP -j DROP/REJECT

Por favor note que você tem que substituir ENDEREÇOIP com o(s) número(s) IP que você encontrou com netstat. Depois de disparar o comando acima, deve matar todas as conexões httpd para limpar o seu sistema e reiniciar o serviço httpd, pode utilizar os comandos:

killall -KILL httpd

E depois só reiniciar seu httpd, por exemplo:

service httpd start ou /etc/init.d/apache2 start