Một Số Câu Lệnh Cơ Bản Kiểm Tra Server Khi Có Dấu Hiệu Bị DDoS

Giới thiệu

Khi website hoặc hệ thống server hoạt động chậm bất thường, khó truy cập hoặc tài nguyên bị chiếm dụng quá mức, có thể đây là dấu hiệu của một cuộc tấn công DDoS (Distributed Denial of Service). Để kịp thời phát hiện, quản trị viên cần biết một số câu lệnh kiểm tra cơ bản trên Linux.

Hướng dẫn thực hiện

Xem kết nối mạng đang hoạt động.

netstat -ntu

Hiển thị danh sách kết nối TCP/UDP.

Đếm số lượng kết nối theo IP.

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head

Thống kê IP nào đang mở nhiều kết nối nhất (dấu hiệu tấn công).

Xem số lượng kết nối tới port 80 (HTTP).

netstat -an | grep :80 | wc -l

Nếu con số quá lớn so với bình thường, có thể bị DDoS HTTP.

Dùng lệnh ss .

ss -ant | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head

Thống kê IP kết nối nhiều nhất.

Theo dõi lưu lượng mạng (real-time).

iftop -i eth0

Giúp xem interface nào đang bị ngập băng thông.

Kiểm tra tiến trình chiếm tài nguyên.

htop

Xác định tiến trình nào đang bị “ngập” do DDoS.

Khi đã phát hiện IP có dấu hiệu bất thường, bạn có thể chặn truy cập IP đó lại.

iptables -A INPUT -s IP_CAN_CHAN -j DROP

Kết luận

Khi server có dấu hiệu bị DDoS, bạn cần nhanh chóng kiểm tra số lượng kết nối, IP bất thường và lưu lượng mạng bằng các lệnh như netstat, ss, iftop, nload. Nếu phát hiện IP mở quá nhiều kết nối, hãy chặn ngay bằng iptables để giảm tải. Với hệ thống doanh nghiệp, nên kết hợp tường lửa, CDN hoặc dịch vụ chống DDoS chuyên dụng để bảo vệ an toàn và ổn định lâu dài.