วิธีตรวจสอบว่า Server โดนโจมตีหรือไม่

การตรวจสอบว่าเราถูกโจมตีหรือไม่ผ่านคำสั่ง netstat


หลายๆ คนคงรู้วิธีใช้งาน netstat กันบ้างแล้ว คราวนี้จะมาดูวิธีการใช้งาน netstat อย่างประยุคๆ หน่อย



การใช้ netstat ตรวจสอบการถูกยิงด้วย syn ด้วยคำสั่ง
netstat -ntu | grep SYN_RECV | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

อันนี้จะบอกว่า ณ ขณะเวลานั้นๆ มีคนส่ง syn เข้ามาเพื่อขอเชื่อมกับ server ของเรา โดยปกติไม่ควรเกิน 10 ครั้งต่อ 1 IP หากเกินกว่านั้นท่าน Block ได้เลย



การใช้ netstat นับจำนวน connetion ของแต่ละ IP ด้วยคำสั่ง
netstat -ntu | grep ESTABLISHED | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

อันนี้จะบอกว่า ณ ขณะเวลานั้นๆ แต่ละ IP มีการเชื่อมต่อกับเรากี่ connetion โดยปกติไม่ควรเกิน 10-20 ครั้งต่อ 1 IP หากเกินกว่านั้นท่าน Block ได้เลย

การใช้ netstat ตรวจสอบได้กับ tcp จะง่าย แต่ถ้าเป็น udp icmp จะใช้โปรแกรม iptraf ช่วยอีกแรง ดูง่ายหน่อย



ติดตั้งด้วยคำสั่ง
yum -y install iptraf

วิธีใช้พิมพ์คำสั่ง iptraf จากนั้นดูว่ามี packet udp icmp วิงผิดปกติหรือเปล่า ถ้ามีก็ดู ip นั้นๆ แล้วนำมา block

ตัวอย่าง การ Block ก็ง่ายๆ ไม่ยากด้วย iptables

iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP
ความหมาย -A = เพิ่ม (add), -s = IP ต้นทาง, -j DROP = Block IP นั้นซ่ะ

Block เป็น class ด้วยคำสั่ง
iptables -A INPUT -s xxx.xxx.xxx.xxx/xx -j DROP

Block เป็น Protocal ด้วยคำสั่ง
iptables -A INPUT -p udp –dport 80 -j DROP
ความหมาย -p = เลือก Protocal ที่ต้องการ (udp,tcp) , –dpoprt = Port ปลายทาง, –spoprt = Port ต้นทางทาง

แล้ว ก็ฝากเตือนทุกๆ คนที่ server โดยยิง ไม่ว่าจะอย่างไรห้ามยิงกลับเป็นอันขาดนะครับ ต้องป้องกันให้ดีที่สุด เก็บ log แล้วก็แจ้งความเท่านั้นนะครับ เพราะถ้าเรายิงกลับเราอาจจะเป็นฝ่ายที่โดนจับเสียเองนะครับ

Was this answer helpful?

 Print this Article

Also Read

วิธีหาไฟล์ php.ini ว่าอยู่ที่ไหน

การแก้ไข Server ไม่วาจะเป็นการปรับแต่ง configuration optimize หรือ secure server...

การคัดลอก Email ระหว่าง IMAP Server

สำหรับท่านที่ประสบปัญหาการโอนย้าย Email จาก Server ที่มี Mail Server ต่างกันหรือ Control Panel...

การเปลี่ยน Host Name ใน RHEL และ CentOS

ก่อนเปลี่ยนแปลงแนะนำให้ตรวจสอบสถานะ hostname ปัจจุบันก่อนครับด้วยคำสั่ง hostname...

วิธีใช้งาน Crontab (Cron Jobs) บน Linux Server

Crontab คือคำสั่งที่จะทำงานตามเวลาที่กำหนด...

วิธีติดตั้ง MemCache บน CentOS

MemCache คือ extension ของ PHP ที่จะทำหน้าที่ลดภาระการทำงานของ Server...