از کجا بفهمم مورد حمله Ddos یا حملات مشابه قرار گرفتم یا خیر

دوستان چند وقتی همه ی سایت ها خطای دیتابیس میده، از کجا بفهمم مورد حمله قرار گرفتم؟

چه راه هایی وجود داره که بشه فهمید مورد حمله قرار گرفته یه سرور



دوستان من این دستور رو که میزنم
netstat -atun | awk '{print $5}' | cut -d: -f1 | sed -e '/^$/d' |sort | uniq -c | sort -n

نتیجه ی زیر میاد، یکی برام تحلیلش میکنه؟



[root@server na]# netstat -atun | awk '{print $5}' | cut -d: -f1 | sed -e '/^$/d' |sort | uniq -c | sort -n
1 127.0.0.1
1 173.194.70.19
1 217.218.254.223
1 5.237.126.215
1 Address
1 and
19 0.0.0.0
[root@server na]#

سلام

بهت پیشنهاد می کنم پورت 3306 رو ببندی . mysql مانند sql server نیست که نیاز به ریموت داشته باشه

دستور زیر رو رو بزن نتیجه رو بده ببینم

watch -n 1 'netstat -an | grep 25 | grep ESTA | wc'

slow.log را توی my.cnf فعال کن و تایمش رو بذار رو 10 ثانیه شاید یکی از یوزر هات را ابیوز می کنه

دوست عزیز یک عدد سه قسمتی می بینم که مدام تغییر میکنه! میشه کمی توضیح بدید


1 6 89
2 12 78

ولی یه نکته ی مهم، هر بار که سرورم هنگ میکنه! توی لیست آخرین بازدید همه ی سایت هام این آیپی ها مشاهده میشه

تعداد زیاید آیپی با این رنج ها
66.249.66.xxx

199.30.240.xxx

ولی شک دارم آیا اسپم باشند یا یه جور حمله

درود بر شما
دوست گرامی معمولا روی سرویس mysq; حملات DDOS نمیکنند و اینطور حملات روی پورت هایی مثل پورت 80 انجام میگردد

برای اختلالی در سیستم معمولا روی mysql حملاتی مانند Flood attacks انجام میگردد که میتوانید با نصب اسکریپت هایی مانند mtop وضعیت کوئری های درخواستی به سرور را بررسی نمایید

نقل قول:

---

نوشته اصلی توسط vastgar

دوستان من این دستور رو که میزنم
netstat -atun | awk '{print $5}' | cut -d: -f1 | sed -e '/^$/d' |sort | uniq -c | sort -n

نتیجه ی زیر میاد، یکی برام تحلیلش میکنه؟

[root@server na]# netstat -atun | awk '{print $5}' | cut -d: -f1 | sed -e '/^$/d' |sort | uniq -c | sort -n
1 127.0.0.1
1 173.194.70.19
1 217.218.254.223
1 5.237.126.215
1 Address
1 and
19 0.0.0.0

---

اینجا باری روی سرور شما نیست. هنگام وقوع DDoS تعداد کانکشن های IPهای مهاجم باید غیرمعمول و بالا باشه

سرورتون نیاز به
tunning & optimization داره

نقل قول:

---

نوشته اصلی توسط nginxweb

درود بر شما
دوست گرامی معمولا روی سرویس mysq; حملات DDOS نمیکنند و اینطور حملات روی پورت هایی مثل پورت 80 انجام میگردد

برای اختلالی در سیستم معمولا روی mysql حملاتی مانند Flood attacks انجام میگردد که میتوانید با نصب اسکریپت هایی مانند mtop وضعیت کوئری های درخواستی به سرور را بررسی نمایید

---

خود mtop هم بخشی از منابع رو اشغال میکنه و این برای سروری که زیر اتک باشه حتی 1 مگ رم هم غنیمته .
با خروجی دائم و general log و tail شدنش راحت تر میشه diagnose کرد .

نقل قول:

---

نوشته اصلی توسط vastgar

دوست عزیز یک عدد سه قسمتی می بینم که مدام تغییر میکنه! میشه کمی توضیح بدید


1 6 89
2 12 78

ولی یه نکته ی مهم، هر بار که سرورم هنگ میکنه! توی لیست آخرین بازدید همه ی سایت هام این آیپی ها مشاهده میشه

تعداد زیاید آیپی با این رنج ها
66.249.66.xxx

199.30.240.xxx

ولی شک دارم آیا اسپم باشند یا یه جور حمله

---

محدوده آی پی هایی که با 66 شروع میشن معمولا از طرف اسپایدرهای گوگل میان ( البته ممکنه استثنا هم داشته باشه )

من این رنج های آیپی رو توی فایروالم مسدود کردم

66.249.66.0/24
199.30.240.0/24

اگه برای اسپایدر گوگله که برم دوباره فعالشون کنم، چون کلی روی سئوی سایت هام کار کردم

بعد یه سوال؟ مگه اسپایدر های گوگل مثل یه بازدید کننده سایت رو می بینند که وبگذر هم نشونشن میده

نقل قول:

---

نوشته اصلی توسط vastgar

من این رنج های آیپی رو توی فایروالم مسدود کردم

66.249.66.0/24
199.30.240.0/24

اگه برای اسپایدر گوگله که برم دوباره فعالشون کنم، چون کلی روی سئوی سایت هام کار کردم

بعد یه سوال؟ مگه اسپایدر های گوگل مثل یه بازدید کننده سایت رو می بینند که وبگذر هم نشونشن میده

---

66.249.66.0 IP Address WHOIS | DomainTools.com
United States Mountain View Google Inc.

این محدوده که گوگل هست .