[Tutoriel] Comment vérifier une attaque DDOS sur votre VPS / Dédié Linux

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

OUIHEBERG

Comment vérifier une attaque DDOS avec la commande netstat sur Linux

Pour commencer il faut installer netstat

yum install net-tools [CentOS/RHEL]
apt install net-tools [Debian/Ubuntu]
zypper install net-tools [OpenSuse]
pacman -S net-tools [Arch Linux]

Quelques exemples avec explication :

netstat -na

Cela affiche toutes les connexions Internet actives et établies sur le serveur .

netstat -an | grep :80 | sort

Affiche uniquement les connexions Internet actives au serveur sur le port 80, c'est le port http et c'est donc utile pour détecter une attaque DDoS sur votre site web cela vous permettant de reconnaître de nombreuses connexions provenant d'une seule IP.

netstat -n -p|grep SYN_REC | wc -l

Cette commande est utile pour savoir combien de SYNC_REC actifs se produisent sur le serveur. Le nombre doit être assez bas, de préférence inférieur à 5. En cas d'attaques DDoS , le nombre peut grimper assez haut. Cependant, la valeur dépend toujours du système, donc une valeur élevée peut être moyenne sur un autre serveur.

netstat -n -p | grep SYN_REC | sort -u

Pour répertoriez toutes les adresses IP impliquées au lieu de simplement compter.

netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'

Pour répertoriez toutes les adresses IP uniques du serveur qui envoient l'état de la connexion SYN_REC.

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Utilisez la commande netstat pour calculer et compter le nombre de connexions que chaque adresse IP établit avec le serveur.

netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Liste du nombre de connexions que les IP sont connectées au serveur à l'aide du protocole TCP ou UDP.

netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

Vérifiez les connexions ESTABLISHED au lieu de toutes les connexions et affiche le nombre de connexions pour chaque IP.

netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1

Affichez et répertoriez l'adresse IP et son nombre de connexions qui se connectent au port 80 sur le serveur. Le port 80 est principalement utilisé par la requête de page Web HTTP.