12+ câu lệnh nhận biết Server có đang bị DDoS hay không | Check DDoS

Các câu lệnh cơ bản để biết Server có bị DDoS hay không, Bạn có thể Check DDoS nhanh bằng các cách dưới đây. Nếu hệ thống của Bạn có Firewall cứng, thì việc check trên firewall sẽ hiệu quả hơn rất nhiều so với check trên OS, ngoài ra có thể xử lý dứt điểm tấn công từ trên firewall. Đừng quên, nhà cung cấp dịch vụ có thể hỗ trợ được Bạn rất nhiều trong trường hợp này. Nếu máy chủ của Bạn đang gặp vấn đề, đừng ngần ngại liên hệ DataOnline, với đội ngũ kỹ thuật giàu kinh nghiệm, chúng tôi có thể hỗ trợ Bạn nhanh chóng.

DataOnlien cung cấp dịch vụ VPS giá rẻ, chống DDoS L3, L4 và cả L7 bảo vệ cho Website.

1. Mục lục nội dung

   Toggle

   Check tổng traffic Network và tốc độ từng IP để nhận biết DDoS

#sudo iftop -n

Nếu chưa cài đặt thì sử dụng câu lệnh sau:

# yum install iftop -y

Với lệnh này, chúng ta sẽ biết được traffic của từng IP, từ đó đoán được IP nào bị tấn công. Áp dụng với Server gắn nhiều IP.

2. Check tổng băng thông và tốc độ hiện tại sẽ thấy băng thông cao – dấu hiệu bị DDoS

Đây là lệnh check tổng băng thông, sẽ hữu ích nếu Server đang bị tấn công l3, L4

# nload

#yum install nload -y

3. Check Check DDoS bằng lệnh htop, top c: check xem Ram, CPU bị hết

Lệnh này check thông số CPU, RAM cơ bản. Chúng ta sẽ nhìn thấy thông số nào bị cao, hoặc nếu sử dụng website, thì sẽ thấy website nào nhiều traffic đột biến. Từ đó có biện pháp cụ thể với từng trường hợp.

# htop

4. iotop lệnh check tốc độ đọc ghi ổ cứng

thường nếu gặp phải trường hợp IO cao, thì sẽ nghĩ đến do Database đầu tiên. Có thể là do bị tấn công nhiều truy vấn DB, hoặc có thể do chính ứng dụng của Bạn chưa tối ưu.

# iotop

5. mytop theo dõi hiệu suất database

với lệnh này, ta có thể kiểm tra chính xác DB nào, table nào đang truy vấn nhiều hoặc time cao. từ đó tìm được nguyên nhân MySQL / MariaDB bị treo

# mytop

6. Time wait check DDoS L7 vào website

với lệnh này, chúng ta sẽ lọc được kiểu tấn công time wait, là kiểu tấn công cổ điển nhưng vẫn rất hiệu quả.

# netstat -ntu

# netstat -an|awk '/tcp/ {print $6}'|sort|uniq -c

7. Đếm lượng connection vào Port 80, 443:

Với website, thì việc tấn công vào cổng 80, 443 là điều chắc chắn xảy ra. Vì vậy có thể lọc kết nối tới cổng này để biết có bị tấn công hay không.

# netstat -n | grep :80 |wc -l

# netstat -n | grep :443 |wc -l

8. Kiểm tra số lượng connection đang ở trạng thái SYN_RECV:

# netstat -n | grep :80 | grep SYN_RECV|wc -l

9. Hiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP:

# netstat -an|grep :80 |awk '{print $5}'|cut -d":" -f1|sort|uniq -c|sort -rn

Nếu muốn kiểm tra IP nào mở nhiều SYN thì thêm vào:

# netstat -an|grep :80|grep SYN |awk '{print $5}'|cut -d":" -f1|sort|uniq -c|sort -rn

10. Đối với server có nhiều IP, để kiểm tra IP nào đang bị tấn công / nhiều kết nối:

# netstat -plan | grep :80 | awk '{print $4}'| cut -d: -f1 |sort |uniq -c

11. vmstat cung cấp thông tin về tài nguyên hệ thống, tình trạng CPU, bộ nhớ, swap…

# vmstat

12. nethogs theo dõi băng thông lưu lượng mạng

# nethogs

13. Check Check DDoS bằng lệnh glances

# glances -t 2

14. Check Check DDoS bằng lệnh bwm-ng

xem số lượng package bắn ra từ mỗi máy ảo (package chứ không phải băng thông). Bấm “u” để chuyển Mbps, packet per second…

# bwm-ng

Nếu chưa cài thì cài bằng lệnh sau: 

# yum -y install bwm-ng;

Trên đây là vài câu lệnh cơ bản để nhận biết nhanh máy chủ có bị tấn công hay không, và tấn công = hình thức nào. Tùy thuộc vào loại hình tấn công mà chúng ta có cách xử lý riêng. Ví dụ như block website bị tấn công, block IP quốc tế, cho domain qua proxy như cloudflare…