วิธีตรวจสอบว่า Server โดนโจมตีหรือไม่ – bossza
BIGtheme.net http://bigtheme.net/ecommerce/opencart OpenCart Templates
หน้าแรก / เทคโนโลยี่ / ระบบรักษาความปลอดภัย / วิธีตรวจสอบว่า Server โดนโจมตีหรือไม่

วิธีตรวจสอบว่า Server โดนโจมตีหรือไม่

การตรวจสอบว่าเราถูกโจมตีหรือไม่ผ่านคำสั่ง netstat

หลายๆ คนคงรู้วิธีใช้งาน netstat กันบ้างแล้ว คราวนี้จะมาดูวิธีการใช้งาน netstat อย่างประยุกค์หน่อย

การใช้ netstat ตรวจสอบการถูกยิงด้วย syn ด้วยคำสั่ง

netstat -ntu | grep SYN_RECV | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

อันนี้จะบอกว่า ณ ขณะเวลานั้นๆ มีคนส่ง syn เข้ามาเพื่อขอเชื่อมกับ server ของเรา โดยปกติไม่ควรเกิน 10 ครั้งต่อ 1 IP หากเกินกว่านั้นท่าน Block ได้เลย

การใช้ netstat นับจำนวน connetion ของแต่ละ IP ด้วยคำสั่ง
netstat -ntu | grep ESTABLISHED | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

อันนี้จะบอกว่า ณ ขณะเวลานั้นๆ แต่ละ IP มีการเชื่อมต่อกับเรากี่ connetion โดยปกติไม่ควรเกิน 10-20 ครั้งต่อ 1 IP หากเกินกว่านั้นท่าน Block ได้เลย

การใช้ netstat ตรวจสอบได้กับ tcp จะง่าย แต่ถ้าเป็น udp icmp จะใช้โปรแกรม iptraf ช่วยอีกแรง ดูง่ายหน่อย

ติดตั้งด้วยคำสั่ง
yum -y install iptraf

วิธีใช้พิมพ์คำสั่ง iptraf จากนั้นดูว่ามี packet udp icmp วิ่งผิดปกติหรือเปล่า ถ้ามีก็ดู ip นั้นๆ แล้วนำมา block

ตัวอย่าง การ Block ก็ง่ายๆ ไม่ยากด้วย iptables

iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP
ความหมาย -A = เพิ่ม (add), -s = IP ต้นทาง, -j DROP = Block IP นั้นซ่ะ

Block เป็น class ด้วยคำสั่ง
iptables -A INPUT -s xxx.xxx.xxx.xxx/xx -j DROP

Block เป็น Protocal ด้วยคำสั่ง
iptables -A INPUT -p udp –dport 80 -j DROP
ความหมาย -p = เลือก Protocal ที่ต้องการ (udp,tcp) , –dpoprt = Port ปลายทาง, –spoprt = Port ต้นทางทาง

แล้ว ก็ฝากเตือนทุกๆ คนที่ server โดยยิง ไม่ว่าจะอย่างไรห้ามยิงกลับเป็นอันขาดนะครับ ควรหาวิธีป้องกันให้ดีที่สุด ทำการเก็บ log แล้วก็แจ้งความเท่านั้นนะครับ เพราะถ้าเรายิงกลับเราอาจจะเป็นฝ่ายที่โดนจับเสียเองนะครับ

เกี่ยวกับ Bossza

คนทำเว็บคนหนึ่ง ตัวเล็กๆ งานเล็กๆ งานใหญ่ๆ ทำมาหมดแล้ว อยากทำระบบเล่าเรื่องราวบันทึกไว้อีกชิ้นหนึ่ง ก็เท่านั้น

เรื่องที่เกี่ยวข้อง

Install Directadmin 1.44.3 Nulled CentOS 6.6

DirectAdmin is ...

ใส่ความเห็น

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องที่ต้องการถูกทำเครื่องหมาย *