Null Route IP yang tidak dikehendaki.

0 Comment

Sebenarnya Ddos sendiri sampai saat ini belum ada obatnya. Memang ada beberapa aplikasi pendukung untuk menangkal serangan ddos seperti gisco, csf, bfd, ddos deflate dan sebagainya, namun aplikasi2 tersebut hanya sebatas penangkal untuk ddos dalam kapasitas ringan dan sedang. Jika si penyerang melancarkan aksi ddos dalam jumlah besar apalagi ddos tersebut dikerjakan melalui media atau sarana berupa perangkat server lebih dari satu (keroyokan) maka ini yang saya sebut tidak ada obatnya.

Bagaimana kita bisa mengecek bahwa server atau situs kita sedang mengalami serangan ddos.?

netstat -tn 2>/dev/null | grep :80 | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -nr | head

Maka akan ditampilkan hasilnya kira2 seperti ini:

415 111.111.111.111
289 112.113.113.114
956 222.222.222.222
21 141.0.9.20
14 49.248.0.2
6 153.100.131.12

Dari hasil diatas kita bisa melihat ada jumlah koneksi sebesar 415 yang datang dari IP 111.111.111.111

Sangat tidak wajar karena bagaimana mungkin satu IP bisa mengakses situs/server kita dengan intensitas sedemikian besar, mau apa dia ? 😀 jika jumlah koneksinya masih dibawah 20 ya masih wajar karena bisa jadi dia kebetulan sedang mengakses server dengan cara “open new tab” 😀

Wes.. to point saja.

Untuk ngeblok IP tersebut:

route add 111.111.111.111 gw 127.0.0.1 lo

atau

route add -host 111.111.111.111 reject

Untuk memastikan IP tersebut sudah kita block:

netstat -nr

atau

route -n

atau

ip route get 111.111.111.111

Kita juga bisa memblok IP tersebut beserta subnetnya dengan cara:

route add -net 111.111.111.111/24 gw 127.0.0.1 lo

atau

route add -net 111.111.111.111/24 reject

Selanjutnya bagaimana jika semisal ingin melepas kembali IP tersebut agar bisa mampir lagi ke server?

route delete 111.111.111.111

atau

route del -host 111.111.111.111 reject

Semoga bermanfaat.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *