출처 : https://serverfault.com/questions/152139/server-under-ddos-attack-how-to-find-out-ips
tail -n 10000 yourweblog.log|cut -f 1 -d ' '|sort|uniq -c|sort -nr|more
최상위 IP 주소를 살펴보십시오. 어떤 것이 다른 사람에게서 두드러지면, 방화벽을 걸 수 있습니다.
netstat -n|grep :80|cut -c 45-|cut -f 1 -d ':'|sort|uniq -c|sort -nr|more
이렇게하면 현재 활성 상태 인 연결을보고 포트 80에 연결된 IP가 있는지 확인할 수 있습니다. IP 주소가 45 열에서 시작할 수 없으므로 cut -c 45-를 변경해야 할 수도 있습니다. 누군가 UDP flood 귀하의 웹 서버, 이것도 그것을 데리러 것입니다.
이들 중 어느 것도 과도하게 비정상적인 IP를 보여주지 못할 가능성이있는 경우, 공격하는 봇넷을 가지고 있다고 가정하고 로그에서 특정 패턴을 찾아 자신이하는 일을 확인해야합니다. WordPress 사이트에 대한 일반적인 공격은 다음과 같습니다.
GET /index.php? HTTP/1.0
웹 사이트의 액세스 로그를 살펴보면 다음과 같은 작업을 수행 할 수 있습니다.
cut -f 2 -d '"' yourweblog.log|cut -f 2 -d ' '|sort|uniq -c|sort -nr|more
가장 많이 조회수가 높은 URL이 표시됩니다. 전체 사이트를로드하는 대신 특정 스크립트를 치는 경우가 있습니다.
cut -f 4 -d '"' yourweblog.log|sort|uniq -c|sort -nr|more
일반적인 UserAgent를 볼 수 있습니다. 그들의 공격에 단일 UserAgent를 사용하고있을 가능성이 있습니다.
트릭은 일반적인 트래픽에 존재하지 않는 공격 트래픽과 공통점을 찾아서 iptables, mod_rewrite 또는 업스트림을 통해 웹 호스트를 필터링하는 것입니다. Slowloris로 공격을 당하면 Apache 2.2.15에 reqtimeout 모듈이 생겨 Slowloris를보다 잘 보호 할 수 있도록 일부 설정을 구성 할 수 있습니다.
'개발관련 > Linux' 카테고리의 다른 글
| Ubuntu 파일 내부의 문자열 검색하는 방법 (0) | 2018.03.28 |
|---|---|
| [참고] 리눅스 서버 60초안에 상황파악하기 (0) | 2018.03.28 |
| Ubuntu에서 서버 연결당 얼마나 메모리를 소모하는지 확인하는법 (0) | 2018.03.21 |
| Ubuntu 서버 보안관련해서 방화벽 로그인 시도 체크하는방법 (0) | 2018.03.21 |
| ubuntu 기본 명령어 (0) | 2018.03.21 |