Linux tabanlı işletim sistemlerinde iptables yüklü ise web server için saldırı tespiti çok basittir. Sunucunuzda loadların yavaş yavaş yükseldiğini gözlemliyorsanız ve load sebebi httpd / apache ise aşağıdaki komutlar ile detaylı analiz yapabilir ve saldırı gelen IP adreslerini engelleyebilirsiniz.

Apache Bağlantı Yapan IP Adresleri Tespit Etmek

Sunucumuzun 80 portuna (apache) bağlantı yapan ip adreslerin bağlantı sayılarına göre küçükten büyüğe şu şekilde tespit edebiliriz;

netstat -pant | grep :80 | awk '{ print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

SSH Üzerinde Linux Saldırı Tespiti

SYN Saldırı Tespit Etme

netstat -ntu grep :80 | grep SYN | awk '{print $4}' | cut -d: -f1 | sort | uniq -c | sort -n

ilk sütun bağlantı sayısı, ikinci sütun o bağlantıyı yapan ip adresini gösterir. Burada ilk sütunu 100 den büyük olan ip adresleri görüntülüyorsanız aşağıdaki komut ile şüpheli ip adreslerini banlayabilirsiniz ;

iptables -A INPUT -s banlanacakipadresi -j DROP