วิธีตรวจสอบว่า Server โดนโจมตีหรือไม่

การตรวจสอบว่าเราถูกโจมตีหรือไม่ผ่านคำสั่ง netstat


หลายๆ คนคงรู้วิธีใช้งาน netstat กันบ้างแล้ว คราวนี้จะมาดูวิธีการใช้งาน netstat อย่างประยุคๆ หน่อย



การใช้ netstat ตรวจสอบการถูกยิงด้วย syn ด้วยคำสั่ง
netstat -ntu | grep SYN_RECV | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

อันนี้จะบอกว่า ณ ขณะเวลานั้นๆ มีคนส่ง syn เข้ามาเพื่อขอเชื่อมกับ server ของเรา โดยปกติไม่ควรเกิน 10 ครั้งต่อ 1 IP หากเกินกว่านั้นท่าน Block ได้เลย



การใช้ netstat นับจำนวน connetion ของแต่ละ IP ด้วยคำสั่ง
netstat -ntu | grep ESTABLISHED | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

อันนี้จะบอกว่า ณ ขณะเวลานั้นๆ แต่ละ IP มีการเชื่อมต่อกับเรากี่ connetion โดยปกติไม่ควรเกิน 10-20 ครั้งต่อ 1 IP หากเกินกว่านั้นท่าน Block ได้เลย

การใช้ netstat ตรวจสอบได้กับ tcp จะง่าย แต่ถ้าเป็น udp icmp จะใช้โปรแกรม iptraf ช่วยอีกแรง ดูง่ายหน่อย



ติดตั้งด้วยคำสั่ง
yum -y install iptraf

วิธีใช้พิมพ์คำสั่ง iptraf จากนั้นดูว่ามี packet udp icmp วิงผิดปกติหรือเปล่า ถ้ามีก็ดู ip นั้นๆ แล้วนำมา block

ตัวอย่าง การ Block ก็ง่ายๆ ไม่ยากด้วย iptables

iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP
ความหมาย -A = เพิ่ม (add), -s = IP ต้นทาง, -j DROP = Block IP นั้นซ่ะ

Block เป็น class ด้วยคำสั่ง
iptables -A INPUT -s xxx.xxx.xxx.xxx/xx -j DROP

Block เป็น Protocal ด้วยคำสั่ง
iptables -A INPUT -p udp –dport 80 -j DROP
ความหมาย -p = เลือก Protocal ที่ต้องการ (udp,tcp) , –dpoprt = Port ปลายทาง, –spoprt = Port ต้นทางทาง

แล้ว ก็ฝากเตือนทุกๆ คนที่ server โดยยิง ไม่ว่าจะอย่างไรห้ามยิงกลับเป็นอันขาดนะครับ ต้องป้องกันให้ดีที่สุด เก็บ log แล้วก็แจ้งความเท่านั้นนะครับ เพราะถ้าเรายิงกลับเราอาจจะเป็นฝ่ายที่โดนจับเสียเองนะครับ

Was this answer helpful?

 Print this Article

Also Read

วิธีใช้งาน Crontab (Cron Jobs) บน Linux Server

Crontab คือคำสั่งที่จะทำงานตามเวลาที่กำหนด...

การติดตั้ง pptpd VPN บน Centos5

1. Install PPP ต้องเป็น ppp เวอร์ชั่น 2.4.4 ขึ้นไปนะครับ # yum install ppp   2. Install...

Script Auto Restart Service หากตรวจพบว่าไม่ทำงาน

บางครั้ง Service ที่เราสั่งให้ทำงานบน Server เช่น httpd ของ Apache หรือ mysql...

วิธีหาไฟล์ php.ini ว่าอยู่ที่ไหน

การแก้ไข Server ไม่วาจะเป็นการปรับแต่ง configuration optimize หรือ secure server...

วิธีแก้ปัญหา IPv6 sending guidelines ของ Gmail

ช่วงเปลี่ยนผ่านของ IPv4 ไป IPv6 นี้ admin หลายท่านคงอาจพบปัญหากับการส่ง Mail ไปยัง Gmail...