28 de agosto de 2009

Netstat para detectar ataques

Netstat es un comando que nos permite conocer las conexiones activas en nuestro equipo Linux. Resulta especialmente útil para ver quien anda entrando y saliendo si tenemos algún tipo de servidor activo.

Netstat en la wikipedia

En Cristalab hablan estos días de su uso para detectar un ataque a su servidor. El comando empleado, en combinación con otros resulta interesante.
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
Una secuencia que puede resultar útil porque agrupa el número de peticiones de una misma máquina, permitiendo localizar rápidamente un ataque.