Extraire les données d'une attaque entrante

tcpdump

Nous allons utiliser ce logiciel : tcpdump. Il permet d'afficher le traffic sur la carte réseau du serveur. En premier temps, on doit déterminer le nom de la carte réseau avec la commande ifconfig

Pour regarder le traffic sur toutes les interfaces :

/usr/sbin/tcpdump -i any -n

Vous pouvez enregistrer les résultats dans un fichier :

 /usr/sbin/tcpdump -i any -n > /root/log_ddos.txt

Nous vous conseillons d’analyser ce fichier afin d'en tirer d'ou proviens l'attaque.

Netstat

Nous vous proposons une autre méthode, qui vous permet d'afficher les IP connectés au serveur, ainsi que le nombre de connexion par IP.

Entrant et sortant :

netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Sur le port 80 :

netstat -plan |grep :80 | awk '{print $4}' | cut -d: -f1 | sort | uniq -c | sort -n

Afficher le nombre total de connexion sur le port 80 :

netstat -apn | grep :80 | wc -l

Blocage d'une IP

Vous désirez bloquer une IP indésirable ?

iptables -A INPUT -s 1.2.3.4 -j DROP
1.2.3.4 = IP à bloquer

Avez vous trouvé le document utile ?