Oke untuk kali ini akan gua share bagaimana cara bertahan
dari serangan Distributed Denial Of Service atau sering disebut DdoS .apa itu
DdoS singkatnya adalah salah
satu jenis serangan Denial of Service yang menggunakan banyak host penyerang
(baik itu menggunakan komputer yang didedikasikan untuk melakukan penyerangan
atau komputer yang "dipaksa" menjadi zombie
1. Login ke SSH, lalu ketik perintah berikut:
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c |
sort -n
Perintah di atas akan menampilkan daftar IP pengujung dan
jumlah koneksinya.
Pada tampilan di atas sebelah kiri menunjukan Jumlah koneksi
dan sebelah kanan adalah IP yg mengakses.
2. Perhatikanlah tampilan tersebut. Koneksi standar pada
webserver umumnya maksimal 20 koneksi per ip tiap detiknya. Jadi jika ada yang
melebihi 30 koneksi, silahkan coba ketik perintah tadi setiap 5 detik. Jika ada
1 IP yang koneksinya tidak berubah atau semakin bertambah banyak, berarti ada
masalah dengan IP ini.
Silahkan cek IP tersebut di http://whois.domaintools.com.
Jika ternyata IP tersebut adalah IP server Anda sendiri, berarti tidak ada
masalah. Tapi jika itu adalah IP yang mencurigakan, Anda harus mengambil
tindakan.
Jika misal IP tersebut adalah milik google, berarti google
sedang melakukan crawling / mengunjungi web Anda. IP google umumnya tidak
berbahaya.
3. Jika IP tersebut mencurigakan, lakukanlah Block IP agar
tidak bisa mengakses server anda, dengan cara:
iptables -A INPUT -s x.x.x.x -j DROP
iptables -A OUTPUT -s x.x.x.x -j DROP
x.x.x.x silahkan ganti dengan IP Address yg ingin anda blok.
4. Silahkan coba jalankan perintah nomer 1 tadi :
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c |
sort -n
Pastikan IP tadi sudah tidak akan tampil karena sudak di
blok.
Untuk melihat Status IP yg sudah di blok tadi, anda bisa
dengan cara ketik :
iptables -L -v -n –line-numbers
Maka akan tampil seperti ini misalnya:
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Chain INPUT (policy ACCEPT 1524K packets, 736M bytes)
num pkts bytes target prot opt
in out source
1 8810 423K
DROP all —
* * x.x.x.x
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt
in out source
Chain OUTPUT (policy ACCEPT 1785K packets, 1034M bytes)
num pkts bytes target prot opt
in out source
1 0 0
DROP all —
* * x.x.x.x
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Terlihat bahwa IP yang tadi anda blok (x.x.x.x), dan IP
tersebut terus berusaha mengirim paket. Perhatikan pada bagian Chain INPUT,
jumlah paket akan terus bertambah dan nilai byte juga pasti bertambah.
Comments