Ragazzi non so che succede ma da qualche giorno ho un VPS sotto continuo attacco DDoS.
A parte riconfigurare il firewall per scartare richieste strane ho pensato di fare uno scriptino carino con tcpdump perchè ho notato che questi attacchi DDoS provengono sempre e solo da un’unica macchina.
Quale occasione migliore per testare lo script e inviare mail alla sezione abuse?
Procediamo…
Semplicissima spiegazione:
Avviamo il nostro script in una sessione tmux e lo lasciamo li a contare pacchetti..
Quando la quantità dei pacchetti ricevuti supererà i 5000 pacchetti andrà a loggare/creare tutto in file nella dumpdir (nel mio caso /root/ddos)
Script in azione … ci mostra i pacchetti ricevuti al momento
1 packets/s
e gli attacchi ricevuti qualche ora prima
2000 pacchetti catturati
97088 pacchetti
Questi sotto invece sono i file che crea lo script ..
Ora in base alla vostra voglia/non voglia possiamo fare 2 cose
1) Questa cosa è da hacker professionista plurilaureato (scherzo)
Con il seguente comando visualizziamo direttamente nel terminale “un’anteprima” del file cap per farci un’idea del tipo di attacco
Qui si vede l’ip della mia macchina 143.** e l’ip della macchina che mi ha mandato pacchetti per decine e decine di minuti 85.**
2) La seconda tecnica è utilizzare ovviamente WireShark per vedere meglio quello che è successo ..
Controllato l’ip dell’attaccante ho mandato una mail all’abuse.
Semplice e veloce 🙂
Sezioni Articolo
Categorie Blog
