Для начала необходимо понять откуда и куда происходит атака. Приведем несколько команд, которые могут помочь при флуде вашего сервера. Подсчет количества коннектов на определенный порт:
$ netstat -na | grep «:порт » | wc -l
Подсчет числа «полуоткрытых» TCP-соединений:
$ netstat -na | grep «:порт » | grep SYN_RCVD | wc -l
Просмотр списка IP-адресов, с которых идут запросы на подключение:
$ netstat -na | grep «:порт » | sort | uniq -c |
sort -nr | less
Анализ подозрительных пакетов с помощью tcpdump:
# tcpdump -n -i eth0 -s 0 -w output.txt dst port
порт and host IP-сервера
Дропаем подключения атакующего:
# iptables -A INPUT -s IP-атакующего -p tcp —destination-port порт -j DROP
Ограничиваем максимальное число «полуоткрытых» соединений с одного IP к конкретному порту:
# iptables -I INPUT -p tcp —syn —dport порт -m iplimit —iplimit-above 10 -j DROP
Отключаем ответы на запросы ICMP ECHO:
# iptables -A INPUT -p icmp -j DROP —icmp-type 8
Необходима помощь в остановке DDOS атаки или флуда, обращайтесь — office@itfb.com.ua