วิธีตรวจสอบว่า Server โดนโจมตีหรือไม่

การตรวจสอบว่าเราถูกโจมตีหรือไม่ผ่านคำสั่ง netstat


หลายๆ คนคงรู้วิธีใช้งาน netstat กันบ้างแล้ว คราวนี้จะมาดูวิธีการใช้งาน netstat อย่างประยุคๆ หน่อย



การใช้ netstat ตรวจสอบการถูกยิงด้วย syn ด้วยคำสั่ง
netstat -ntu | grep SYN_RECV | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

อันนี้จะบอกว่า ณ ขณะเวลานั้นๆ มีคนส่ง syn เข้ามาเพื่อขอเชื่อมกับ server ของเรา โดยปกติไม่ควรเกิน 10 ครั้งต่อ 1 IP หากเกินกว่านั้นท่าน Block ได้เลย



การใช้ netstat นับจำนวน connetion ของแต่ละ IP ด้วยคำสั่ง
netstat -ntu | grep ESTABLISHED | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

อันนี้จะบอกว่า ณ ขณะเวลานั้นๆ แต่ละ IP มีการเชื่อมต่อกับเรากี่ connetion โดยปกติไม่ควรเกิน 10-20 ครั้งต่อ 1 IP หากเกินกว่านั้นท่าน Block ได้เลย

การใช้ netstat ตรวจสอบได้กับ tcp จะง่าย แต่ถ้าเป็น udp icmp จะใช้โปรแกรม iptraf ช่วยอีกแรง ดูง่ายหน่อย



ติดตั้งด้วยคำสั่ง
yum -y install iptraf

วิธีใช้พิมพ์คำสั่ง iptraf จากนั้นดูว่ามี packet udp icmp วิงผิดปกติหรือเปล่า ถ้ามีก็ดู ip นั้นๆ แล้วนำมา block

ตัวอย่าง การ Block ก็ง่ายๆ ไม่ยากด้วย iptables

iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP
ความหมาย -A = เพิ่ม (add), -s = IP ต้นทาง, -j DROP = Block IP นั้นซ่ะ

Block เป็น class ด้วยคำสั่ง
iptables -A INPUT -s xxx.xxx.xxx.xxx/xx -j DROP

Block เป็น Protocal ด้วยคำสั่ง
iptables -A INPUT -p udp –dport 80 -j DROP
ความหมาย -p = เลือก Protocal ที่ต้องการ (udp,tcp) , –dpoprt = Port ปลายทาง, –spoprt = Port ต้นทางทาง

แล้ว ก็ฝากเตือนทุกๆ คนที่ server โดยยิง ไม่ว่าจะอย่างไรห้ามยิงกลับเป็นอันขาดนะครับ ต้องป้องกันให้ดีที่สุด เก็บ log แล้วก็แจ้งความเท่านั้นนะครับ เพราะถ้าเรายิงกลับเราอาจจะเป็นฝ่ายที่โดนจับเสียเองนะครับ

Was this answer helpful?

 Print this Article

Also Read

วิธีแก้ปัญหา IPv6 sending guidelines ของ Gmail

ช่วงเปลี่ยนผ่านของ IPv4 ไป IPv6 นี้ admin หลายท่านคงอาจพบปัญหากับการส่ง Mail ไปยัง Gmail...

วิธีใช้งาน Crontab (Cron Jobs) บน Linux Server

Crontab คือคำสั่งที่จะทำงานตามเวลาที่กำหนด...

Script Auto Restart Service หากตรวจพบว่าไม่ทำงาน

บางครั้ง Service ที่เราสั่งให้ทำงานบน Server เช่น httpd ของ Apache หรือ mysql...

การติดตั้ง pptpd VPN บน Centos5

1. Install PPP ต้องเป็น ppp เวอร์ชั่น 2.4.4 ขึ้นไปนะครับ # yum install ppp   2. Install...

เปลี่ยนวันเวลาบนลีนุกซ์ด้วยคำสั่ง date

วันเวลาบนลีนุกซ์ถือเป็นเรื่องสำคัญ ที่สมควรจะตั้งให้ตรงกับเวลามาตรฐาน ไม่เช่นนั้น โปรแกรมต่างๆ...