Nepageidaujamų susijungimų su serveriu nustatymas

IV_VygandasS

Šiame informaciniame straipsnyje pateikiame įrankio netstat komandas kurios pagelbės nustatyti ar su Jūsų serveriu yra vykdomi nepageidaujami susijungimai.

Parodyti visus aktyvius susijungimus su serveriu:

netstat -na

Parodyti visus aktyvius susijungimus su serveriu, kurie yra įvykdyti per 80 prievadą:

netstat -an | grep :80 | sort

Gauta informacija yra naudinga, kai didelį kiekį susijungimų inicijuoja vienas IP adresas.

Parodyti kiek serveryje yra aktyvių SYN_RECV:

netstat -n -p | grep SYN_REC | wc -l

Šis skaičius turėtų būti pakankamai žemas, tačiau normali vertė priklausomai nuo sistemos gali varijuoti.

Parodyti su kokiais IP adresais yra vykdomas SYN_RECV:

netstat -n -p | grep SYN_REC | sort -u

Pateikti visų unikalių IP adresų siunčiančių SYN_RECV susijungimo statusą sąrašą:

netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'

Parodyti kiek susijungimų kiekvienas IP adresas atlieka su serveriu:

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Parodyti kiek susijungimų su serverių atlieka IP adresai naudojant TCP ar UDP protokolą:

netstat -anp | grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Parodyti tik įvykdytus susijungimus kiekvienam IP adresui:

netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

Parodyti visus susijungimus su serveriu ir jų kiekį, kurie yra įvykdyti per 80 prievadą:

netstat -plan | grep :80 | awk {'print $5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1

Jeigu aptikote nepageidaujamus susijungimus - juos galite blokuoti naudojant pasirinktą ugniasienę.

Trumpą pamoką apie ugniasienės (iptables) konfigūravimą rasite apsilankę šiuo adresu.