Networking
如何找到惡意IP?
Cacti 向我的伺服器顯示不規則且相當穩定的高頻寬(是正常的 40 倍),所以我猜該伺服器正受到某種 DDoS 攻擊。傳入的頻寬並沒有使我的伺服器癱瘓,但當然會消耗頻寬並影響性能,所以我很想找出可能的罪魁禍首 IP 將它們添加到我的拒絕列表或以其他方式對抗它們。當我執行時:
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
我得到一長串 IP,每個 IP 最多有 400 個連接。我檢查了出現次數最多的 IP,但它們來自我的 CDN。所以我想知道什麼是幫助監控每個 IP 發出的請求以查明惡意請求的最佳方法。我正在使用 Ubuntu 伺服器。
謝謝
假設它是一個 Web 伺服器並且連接在埠 80/443 上,請檢查您的 Apache/Web 伺服器日誌以查看使用者代理是什麼。您可能會發現它是一個搜尋引擎機器人。多年來,爬行機器人(惡意、真實和邊緣)的數量大幅增加,並可能導致您看到的確切行為。
我猜您從http://www.cyberciti.biz/tips/netstat-command-tutorial-examples.html中提取了發布的命令,但如果沒有,它包含一些有趣的命令。
一旦您認為您已經確定了有問題的 IP,那麼下一個最佳步驟就是檢查流量。您可以使用 tcpdump 執行此操作
tcpdump -i eth0 host 192.168.1.3 and port 80 -n -s 0 -vvv -w ~/tcpdump.cap
然後用Wireshark打開 tcpdump並輕鬆查看