netstat -anp |grep ‘tcp\|udp’ | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort –nLệnh này sẽ hiển thị cho bạn danh sách các IP đã đăng nhập là số lượng tối đa các kết nối đến máy chủ của bạn.
ddos trở nên phức tạp hơn khi những kẻ tấn công sử dụng các kết nối ít từ một IP nhưng với số lượng lớn địa chỉ IP để thực hiện tấn công.Trong trường hợp như vậy, bạn sẽ nhận được ít hơn số lượng kết nối ngay cả khi máy chủ của bạn đang bị DDOS. Một điều quan trọng là bạn nên kiểm tra số lượng các kết nối đó hoạt động trên máy chủ của bạn bằng lệnh sau:
netstat -n | grep :80 |wc –lLệnh trên sẽ hiển thị các kết nối hoạt động được mở cho dịch vụ website trên máy chủ của bạn.
Bạn cũng có thể thực hiện các lệnh sau đây:
netstat -n | grep: 80 | grep SYN | wc -lKết quả của hoạt động kết nối từ các lệnh đầu tiên sẽ khác nhau nhưng nếu nó cho thấy các kết nối hơn 500, như vậy máy chủ của bạn chắc chắn có vấn đề.
Nếu kết quả sau khi bạn thực hiện lệnh thứ hai là 100 hoặc cao hơn thì bạn đang gặp vấn đề với sync attack.
Một trong số ý tưởng được đưa ra là ngăn chặn IP thông qua sử dụng firewall sẵn có của server, Với câu lệnh sau:
route add <địa chỉ IP cần chặn> rejectVà, Các bạn có thể kiểm tra một địa chỉ IP có bị chặn trên server với lệnh sau:
route -n |grep <địa chỉ IP cần chặn>
Bạn cũng có thể thực hiện câu lệnh sau để chặn một địa chỉ IP
iptables -A INPUT 1 -s <địa chỉ IP cần chặn> -j DROP/REJECT
Khởi động lại firewall
service iptables restartLưu lại cấu hình
service iptables saveSau khi thiết lập các câu lệnh trên. cần xoá bỏ toàn bộ kết nối vào dịch vụ website trên server:
killall -KILL httpdKhởi động lại dịch vụ website trên server:
service httpd start(Nguồn: https://kb.hivelocity.net/how-to-check-if-your-linux-server-is-under-ddos-attack/)