بررسی تعداد کانکشن ها روی پورت خاص به تفکیک آی پی

  • شروع کننده موضوع farid
  • تاریخ شروع

farid

مدیر کل انجمن
عضو کادر مدیریت
مدیر کل انجمن
عضویت
20/5/15
ارسال ها
452
امتیاز
10
وب سایت
faraso.org
سلام
امروز می خواهیم نحوه بررسی تعداد کانکشن روی پورت خاص در سیستم عامل لینوکس را آموزش دهیم
کاربرد این دستور در زمانی مشخص می شود که شما روی پورتی خاص حمله DOS دارید
و با این دستور می توانید مشخص کنید هر آی پی چند کانکشن به سرور شما بر روی پورت مورد نظر ایجاد کرده
است و آن را مسدود کنید.
مهم ترین پورتی که عموما مورد حمله DOS قرار می گیرد پورت 80 است که وب سرور شما ( برای مثال Apache یا nginx ) بر روی آن سرویس دهی می کند لذا حمله کنندگان با استفاده از حمله DOS سعی می کنند سرویس دهی روی این پورت را مختل کنند که در نتیجه موجب دان شدن وب سرور و عدم پاسخگویی به کاربران خواهد شد.
برای یافتن تعداد کانکشن ها به تفکیک آی پی بر روی پورت 80 از دستور زیر استفاده کنید:
کد:
netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1
پس از اجرای دستور فوق می توانید هر آی پی و تعداد کانکشن آن به سرور را مشاهده کنید.
عموما اگر یک آی پی بیش از 150 کانکشن به سرور شما ایجاد کرده است مشکوک به DOS می باشد لذا می توانید آن آی پی را در فایروال سرور مسدود کنید.

توجه: در صورت نیاز به بررسی تعداد کانکش ها بر روی پورتی غیر از پورت 80 عدد 80 در دستور فوق را با پورت مورد نظر خود تغییر دهید.
 

msm

عضو حرفه ای
ناظر انجمن
عضویت
13/5/15
ارسال ها
185
امتیاز
6
این دو کامند هم میتونه کاربردی باشه

نمایش مجموع تعداد کانکشن تمام آی پی ها بر روی پورت 80
کد:
netstat -ntu | grep :80 | grep -v LISTEN | awk '{print $5}' | cut -d: -f1 | grep -v localip | wc -l
کد:
 netstat -ntu | grep :80 | grep -v LISTEN | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -rn | grep -v localip | wc -l

بجای لوکال آی پی از آی پی آدرس اصلی سرور استفاده کنید که آی پی خود سرور رو در شمارش محسوب نکنه
 

AHMAD

ایران وب ادمین
عضو کادر مدیریت
ناظر انجمن
عضویت
28/1/15
ارسال ها
145
امتیاز
6
محل سکونت
Matt Cutts Office
وب سایت
www.rastana.com
این دو کامند هم میتونه کاربردی باشه

نمایش مجموع تعداد کانکشن تمام آی پی ها بر روی پورت 80
کد:
netstat -ntu | grep :80 | grep -v LISTEN | awk '{print $5}' | cut -d: -f1 | grep -v localip | wc -l
کد:
 netstat -ntu | grep :80 | grep -v LISTEN | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -rn | grep -v localip | wc -l

بجای لوکال آی پی از آی پی آدرس اصلی سرور استفاده کنید که آی پی خود سرور رو در شمارش محسوب نکنه

سلام

تفاوتش با دستور قبل در چی هست ؟
 

msm

عضو حرفه ای
ناظر انجمن
عضویت
13/5/15
ارسال ها
185
امتیاز
6
سلام

تفاوتش با دستور قبل در چی هست ؟
کامند قبلی به ازای هر آی پی نمایش میده این کامند تعداد مجموع کانکشنها رو نشون میده
 
بالا