Başlıklar
Linux tabanlı işletim sistemlerinde iptables yüklü ise web server için saldırı tespiti çok basittir. Sunucunuzda loadların yavaş yavaş yükseldiğini gözlemliyorsanız ve load sebebi httpd / apache ise aşağıdaki komutlar ile detaylı analiz yapabilir ve saldırı gelen IP adreslerini engelleyebilirsiniz.
Apache Bağlantı Yapan IP Adresleri Tespit Etmek
Sunucumuzun 80 portuna (apache) bağlantı yapan ip adreslerin bağlantı sayılarına göre küçükten büyüğe şu şekilde tespit edebiliriz;
netstat -pant | grep :80 | awk '{ print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
SSH Üzerinde Linux Saldırı Tespiti
SYN Saldırı Tespit Etme
netstat -ntu grep :80 | grep SYN | awk '{print $4}' | cut -d: -f1 | sort | uniq -c | sort -n
ilk sütun bağlantı sayısı, ikinci sütun o bağlantıyı yapan ip adresini gösterir. Burada ilk sütunu 100 den büyük olan ip adresleri görüntülüyorsanız aşağıdaki komut ile şüpheli ip adreslerini banlayabilirsiniz ;
iptables -A INPUT -s banlanacakipadresi -j DROP