SYN flooding on port заметка
Апр 042022Заметка для поиска ddos атаки на ваш linux сервер:
# Цифры в Recv-Q показывают кол-во сокетов в Accept очереди, а Send-Q размер бэклог-лимита. #
ss -plnt sport = :3724 | cat
ss -plnt sport = :8090 | cat
# Используйте команды netstat или ss для проверки состояния сокета TCP следующим образом, где указан номер порта, указанный в Possible SYN flooding on port сообщении #
netstat -nta | egrep "State|3724"
ss -nta '( dport = :3724 )'
netstat -nta | egrep "State|8090"
ss -nta '( dport = :8090 )'
# В выходных данных приведенной выше команды будет указан каждый IP-адрес, подключенный к серверу, и количество экземпляров каждого из них. #
netstat -ntu|awk '{print $5}'|cut -d: -f1 -s|sort|uniq -c|sort -nk1 -r
# Как только вы будете уверены в виновности, вы можете заблокировать IP-адрес с помощью команды: #
sudo route add 128.128.128.128 reject