پاسخ : چگونگی بررسی لاگ سرور برای شناسایی اتکها
در واقع شما برای حل این مشکل اول باید ای پی هایی که این حملات رو به شما میدن شناسایی کنین در لحظه. اون مواردی که در فایل لاگ ذخیره شدن، حملاتی هستن که انجام شده تموم شده رفته. اما برای اینکه در لحظه بتونین مشاهده کنین، باید فکر چاره ای کنین که در همون لحظه متوجه بشید و در همون لحظه اون ای پی رو مسدودش کنین.نوشته اصلی توسط Fardis Host
من خودم برای اینکه کانکشن ها رو جوری ***** کنم که فقط SYN هارو بهم نشون بده از دستور زیر استفاده میکنم:
حالا با توجه به خروجی هایی که میگیرین، اونهایی که بالاتر از 3000 هستن، میتونن درخواست هایی باشن که از سمت سروری اومدن که یکنفر برای اتک به سرور شما اون رو تنظیم کرده.کد PHP:netstat -n | grep :80 | grep SYN |wc -l
این راهکاری هستش که من استفاده میکنم و خواستم به شما بگم شاید کمکتون کنه برای بعدا چون این تاپیک برای خیلی وقت پیشه و یا اینکه شاید یکی همچین مشکلی داره و بتونه ازین مطلب استفاده کنه.
راهکارای دیگه هستش برای بررسی در لحظه اینها مثل مانیتورینگ و چیزهای دیگه که پیشنهاد این راهکارا برای زمانی که زیر اتک هستین خیلی خنده دار و مسخره ست. چون زمانی که سرورتون زیر اتک هستش در واقع شما تو یه موقعیت اضطراری هستین که دیگه بخایین مانیتورینگ نصب کنین و این داستانا خیلی ناشیانه ست. برای همین این چنین کامندهایی رو همیشه به ذهنتون بسپرین، مطمعنا یک روزی به دردتون میخوره.
پاسخ با نقل قول
