Cacti показывает нерегулярную и довольно стабильную высокую пропускную способность для моего сервера (в 40 раз больше нормальной), поэтому я предполагаю, что сервер подвергся какой-то DDoS-атаке. Входящая полоса пропускания не парализовала мой сервер, но, конечно, потребляет пропускную способность и влияет на производительность, поэтому я очень хочу выяснить возможные IP-адреса виновных, добавить их в мой список запретов или иным образом противодействовать им. Когда я бегу:
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
Я получаю длинный список IP-адресов до 400 подключений каждый. Я проверил самые многочисленные IP-адреса, но они происходят из моего CDN. Поэтому мне интересно, как лучше всего отслеживать запросы, которые делает каждый IP-адрес, чтобы определить вредоносные. Я использую сервер Ubuntu.
Спасибо
Предполагая, что это веб-сервер, а соединения установлены на порте 80/443, проверьте журналы вашего Apache / веб-сервера, чтобы узнать, что такое пользовательский агент. Вероятно, вы обнаружите, что это бот для поисковых систем. Количество ботов для сканирования (злонамеренных, подлинных и пограничных) значительно увеличилось с годами и может вызывать именно то поведение, которое вы видите.
Я предполагаю, что вы вытащили команду, отправленную из http://www.cyberciti.biz/tips/netstat-command-tutorial-examples.html, но если нет, то он содержит несколько интересных команд.
Если вы думаете, что определили проблемный IP-адрес, следующим лучшим шагом будет проверка трафика. Вы можете сделать это с помощью tcpdump
tcpdump -i eth0 host 192.168.1.3 and port 80 -n -s 0 -vvv -w ~/tcpdump.cap
Затем откройте tcpdump с помощью Wireshark и легко просмотреть