Bandwidth tăng đột biến sẽ liên quan tới 2 vấn đè chính sau: lượng người truy cập thực tế hay bị tấn công?
Đánh giá bandwidth thì phải kiểm tra 3 yêu tố sau: web traffic , email transferred và ftp transferred .
Cụ thể vào webmin hay virtual min để kiểm tra Bandwidth và xem report thực té. Xem bandwidth tăng do yếu tố nào trong 3 yếu tố trên. Nếu do web traffic thì kiểm tra access log . Kiểm tra log phải chú ý ip truy cập để phân biệt giữa việc bị tấn công hay truy cập thực tế. Nếu bị tấn công thì IP thường sẽ cố định và liên tục, còn nếu truy cập thực tế thì dải IP là rộng và không liên tục.
Check cac dich vu dang dc truy cap, cu 3 giay chay lenh nay 1 lan de xem truy cap co phai la tan cong hay ko?
netstat -nlap | grep httpd
netstat -anp |grep ‘tcp\|udp’ | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n : đếm số lượng ip request tới tcp và udp
check /var/log/messages
Để xác định IP trong file log có thể dùng lệnh sau:
cat <log file name> |cut -d ‘ ‘ -f 1 |sort |uniq > result.txt
Cat: đọc nọi dung file , sau đó cut lây phần địa chỉ IP , tiếp tục sắp xếp nhóm IP với nhau, tiếp tục dùng unip để lây duy nhất , và > để xuất toàn bộ kết quả vào file result.txt
hoặc
cat access_log | sort | uniq -c | sort -n | tail -20
Cat: đọc nọi dung file , sau đó tiếp tục sắp xếp theo thứ tự, tiếp tục dùng unip để lây duy nhất và -c để đếm số lượng , tiếp tục sắp xếp -n : tăng dần và lấy ra 20 dòng cuối cùng (tail -20) , nghĩa là lấy ra 20 dòng ip có request vào hệ thống nhiều nhất.
Ngoài ra có thể bổ sung thêm : Protecting Apache against DOS attack with mod_evasive http://www.novell.com/coolsolutions/feature/19958.html
Tham khảo thêm : http://seclists.org/webappsec/2010/q4/34
