Home > Dịch vụ VPS > Hệ điều hành Centos > Làm thế nào để kiểm tra một máy chủ đang bị tấn công bởi DDOS

Làm thế nào để kiểm tra một máy chủ đang bị tấn công bởi DDOS

Đăng nhập SSH vào máy chủ, Sử dụng câu lệnh sau để kiểm tra:
netstat -anp |grep ‘tcp\|udp’ | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort –n
Lệnh này sẽ hiển thị cho bạn danh sách các IP đã đăng nhập là số lượng tối đa các kết nối đến máy chủ của bạn.

ddos trở nên phức tạp hơn khi những kẻ tấn công sử dụng các kết nối ít từ một IP nhưng với số lượng lớn địa chỉ IP để thực hiện tấn công.Trong trường hợp như vậy, bạn sẽ nhận được ít hơn số lượng kết nối ngay cả khi máy chủ của bạn đang bị DDOS. Một điều quan trọng là bạn nên kiểm tra số lượng các kết nối đó hoạt động trên máy chủ của bạn bằng lệnh sau:
netstat -n | grep :80 |wc –l
Lệnh trên sẽ hiển thị các kết nối hoạt động được mở cho dịch vụ website trên máy chủ của bạn.
Bạn cũng có thể thực hiện các lệnh sau đây:
netstat -n | grep: 80 | grep SYN | wc -l
Kết quả của hoạt động kết nối từ các lệnh đầu tiên sẽ khác nhau nhưng nếu nó cho thấy các kết nối hơn 500, như vậy máy chủ của bạn chắc chắn có vấn đề. 
Nếu kết quả sau khi bạn thực hiện lệnh thứ hai là 100 hoặc cao hơn thì bạn đang gặp vấn đề với sync attack.
Một trong số ý tưởng được đưa ra là ngăn chặn IP thông qua sử dụng firewall sẵn có của server, Với câu lệnh sau:
route add <địa chỉ IP cần chặn> reject
Và, Các bạn có thể kiểm tra một địa chỉ IP có bị chặn trên server với lệnh sau:

route -n |grep <địa chỉ IP cần chặn>
Bạn cũng có thể thực hiện câu lệnh sau để chặn một địa chỉ IP
iptables -A INPUT 1 -s <địa chỉ IP cần chặn> -j DROP/REJECT
Khởi động lại firewall
service iptables restart

Lưu lại cấu hình 
service iptables save
Sau khi thiết lập các câu lệnh trên. cần xoá bỏ toàn bộ kết nối vào dịch vụ website trên server:
killall -KILL httpd
Khởi động lại dịch vụ website trên server:
service httpd start
(Nguồn: https://kb.hivelocity.net/how-to-check-if-your-linux-server-is-under-ddos-attack/)