Sunucunuza gelen saldırıları tespit etmek için birçok yöntem bulunmaktadır,
Aklıma geldikçe tespitte kullandığın komutları buradan paylaşacağım;
Komut çıktısında “source” olarak gözüken tekrarlı ipler görüyor iseniz bu ipden saldırı alıyor olabilirsiniz.
tcpdunmp kurulıu değil ise debian için apt-get install tcpdump , centos için yum install tcpdump komutu ile kurabilirsiniz.
tcpdump -n -q dst port 80
Komut çıktısı çok fazla sonuç veriyor ise yoğun bir SYN saldırısı alıyorsunuz demektir;
netstat -an|grep SYN
Juno portları dediğimiz 1024 ve 3072 portlarına saldırı geliyor ise aşağıdaki komutlar ile juno portlarını kapatabilirsiniz;
iptables -A INPUT -p tcp –sport 1024 -j DROP
iptables -A INPUT -p tcp –sport 3072 -j DROP
Ngrep yani network grep gelen isteklerin içeriğini görebilmemiz için güzel bir yazılımdır, kurulumu;
yum install libpcap-devel
wget http://www.sfr-fresh.com/unix/misc/ngrep-1.45.tar.gz
tar zxvf ngrep-1.45.tar.gz
cd ngrep-1.45
./configure
make
Kurulum tamamlandıktan sonra takip etmek istediğimiz içeriği belirterek komutu kullanabiliriz.
Örneğin, index.html dosyasını çağaran ip adreslerini aşağıdaki komut ile görebiliriz;
./ngrep -M “GET index.html” -q
Aşağıdaki komut ile tüm istekleri görebiliriz. Space tuşuna basarak alt sayfalara geçebiliriz
./ngrep | more
