Как определить DDoS-атаку?

спросил от Руслан в категории Администрирование
показан от Администратор

1 Ответ

ответил от Администратор

Для начала нужно проанализировать наличие атаки. Для этого посмотрим число процессов Apache:


Debian:

ps aux | grep apache2 | wc -l

CentOS:

ps aux | grep httpd | wc -l

Если процессов более чем 35, вероятно, на вас производится атака.

Теперь нам нужно найти сайт, на который производится атака.

Переходим в директорию с access логами сайтов:

cd /var/www/httpd-logs

Обращаем внимание на файлы с большими размерами:

du -hs *

Анализируем на аномалии:

cat big_log.access.log | awk '{print $1}' | sort | uniq -c

Данная команда покажет число запрос к сайту с уникальных IP.

Для более детального определения нарушителя, очистим файл с логом:

echo "" > big_log.access.log

И повторно анализируем файл лог на аномалии, выполняя команду:

cat big_log.access.log | awk '{print $1}' | sort | uniq -c

Если у Вас используется iptables, блокируем нарушителей:

iptables -I INPUT -s 1.1.1.1 -j DROP

Здесь собраны самые часто задаваемые вопросы по работе с хостингом, которые поступали к нам в отдел технической поддержки. В нашей базе знаний вы сами можете задавать вопросы и получать ответы от других клиентов нашего хостинга.
...