[Linux] Как да засечем IP-то което ни флууди в момента

Дискусии и проблеми свързани с Linux.
Публикувай отговор
Аватар
WaLkZ
Извън линия
Администратор
Администратор
Мнения: 799
Регистриран на: 05 Окт 2016, 21:13
Местоположение: Варна
Се отблагодари: 75 пъти
Получена благодарност: 227 пъти
Обратна връзка:
Свържи се с WaLkZ

[Linux] Как да засечем IP-то което ни флууди в момента

Мнение от WaLkZ » 09 Окт 2016, 23:31

Сега ще разберете как под Linux можете да хванете IP-то което ви флууди в момента за да можете да се обадите на доставчика си и евентуално да го филтрира.

Нужно ни е първо да си инсталиране tcpdump:
Debian базираните:

Код за потвърждение: Избери целия код

apt-get install tcpdump
RedHat базираните:

Код за потвърждение: Избери целия код

yum install tcpdump
За Slackware

Код за потвърждение: Избери целия код

slackpkg install tcpdump
Препоръчително е преди да пуснете теста за да видите кои ви флууди да спрете всички сървъри за да ограничите UDP трафика, иначе ще се логват доста повече IP адреси докато разберете кое е точно атакуващото.

Ето как става и номера:

Код за потвърждение: Избери целия код

tcpdump -n -i eth0 udp
Съответно eth0 - 0 се пада номера на Lan картата от която Ви е входния трафик. Със командата ifconfig можете да видите какъв е номера на Lan картата

След като изпълните командата ще ви излезе нещо подобно:

Код за потвърждение: Избери целия код

20:48:43.413759 IP 192.168.54.57.52722 > 127.0.0.1.80: UDP, length 64
20:48:43.413863 IP 192.168.54.57.52722 > 127.0.0.1.80: UDP, length 64
20:48:43.413968 IP 192.168.54.57.52722 > 127.0.0.1.80: UDP, length 64
20:48:43.414071 IP 192.168.54.57.52722 > 127.0.0.1.80: UDP, length 64
20:48:43.414176 IP 192.168.54.57.52722 > 127.0.0.1.80: UDP, length 64
20:48:43.414281 IP 192.168.54.57.52722 > 127.0.0.1.80: UDP, length 64
20:48:43.414384 IP 192.168.54.57.52722 > 127.0.0.1.80: UDP, length 64
20:48:43.414488 IP 192.168.54.57.52722 > 127.0.0.1.80: UDP, length 64
20:48:43.414592 IP 192.168.54.57.52722 > 127.0.0.1.80: UDP, length 64
20:48:43.414696 IP 192.168.54.57.52722 > 127.0.0.1.80: UDP, length 64
20:48:43.414800 IP 192.168.54.57.52722 > 127.0.0.1.80: UDP, length 64
20:48:43.414904 IP 192.168.54.57.52722 > 127.0.0.1.80: UDP, length 64
20:48:43.415008 IP 192.168.54.57.52722 > 127.0.0.1.80: UDP, length 64
20:48:43.415113 IP 192.168.54.57.52722 > 127.0.0.1.80: UDP, length 64
20:48:43.415216 IP 192.168.54.57.52722 > 127.0.0.1.80: UDP, length 64
20:48:43.415320 IP 192.168.54.57.52722 > 127.0.0.1.80: UDP, length 64
Демек:
IP-то 192.168.54.57 е атакуващото Ви IP
52722 - Порта през които флуудера Ви удря (Не си мислете, че ако забраните този порт Flood-а ще спре. При всяка нова атака той се сменя)
IP-то 127.0.0.1 е вашето IP на машината
80 - Порта които флуудера удря
length 64 - това се пада пакетите с които флуудера Ви удря в този случай те са 64 (А могат да бъдат далеч повече)

Автор: freedj a.k.a kostov
Върнете се в началото
Публикувай отговор
  • Подобни теми
    Отговори
    Преглеждания
     Последно мнение

Обратно към “Linux”

Кой е на линия

Потребители разглеждащи този форум: 0 регистрирани и 15 госта