Linux系统采用netstat命令查看DDOS攻击的方法
<p>Linux系统用netstat命令查看DDOS攻击具体命令用法如下:</p><p><br><div class="msgheader"><div class="right"><span style="CURSOR: pointer" class="copybut"><u>复制代码</u></span></div>代码如下:</div><div class="msgborder" id="phpcode28">netstat -na</div></p>
<p>显示所有连接到服务器的活跃的网络连接</p>
<p><br><div class="msgheader"><div class="right"><span style="CURSOR: pointer" class="copybut"><u>复制代码</u></span></div>代码如下:</div><div class="msgborder" id="phpcode29">netstat -an | grep :80 | sort</div></p>
<p>只显示连接到80段口的活跃的网络连接,80是http端口,这对于web服务器非常有用,并且对结果排序.对于你从许多的连接中找出单个发动洪水攻击IP非常有用</p>
<p><br><div class="msgheader"><div class="right"><span style="CURSOR: pointer" class="copybut"><u>复制代码</u></span></div>代码如下:</div><div class="msgborder" id="phpcode30">netstat -n -p|grep SYN_REC | wc -l</div></p>
<p>这个命令对于在服务器上找出活跃的SYNC_REC非常有用,数量应该很低,最好少于5.<br />在dos攻击和邮件炸弹,这个数字可能非常高.然而值通常依赖于系统,所以高的值可能平分给另外的服务器.</p>
<p><br><div class="msgheader"><div class="right"><span style="CURSOR: pointer" class="copybut"><u>复制代码</u></span></div>代码如下:</div><div class="msgborder" id="phpcode31">netstat -n -p | grep SYN_REC | sort -u</div></p>
<p>列出所有包含的IP地址而不仅仅是计数.</p>
<p><br><div class="msgheader"><div class="right"><span style="CURSOR: pointer" class="copybut"><u>复制代码</u></span></div>代码如下:</div><div class="msgborder" id="phpcode32">netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'</div></p>
<p>列出所有不同的IP地址节点发送SYN_REC的连接状态</p>
<p><br><div class="msgheader"><div class="right"><span style="CURSOR: pointer" class="copybut"><u>复制代码</u></span></div>代码如下:</div><div class="msgborder" id="phpcode33">netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n</div></p>
<p>使用netstat命令来计算每个IP地址对服务器的连接数量</p>
<p><br><div class="msgheader"><div class="right"><span style="CURSOR: pointer" class="copybut"><u>复制代码</u></span></div>代码如下:</div><div class="msgborder" id="phpcode34">netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n</div></p>
<p>列出使用tcp和udp连接到服务器的数目</p>
<p><br><div class="msgheader"><div class="right"><span style="CURSOR: pointer" class="copybut"><u>复制代码</u></span></div>代码如下:</div><div class="msgborder" id="phpcode35">netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr</div></p>
<p>检查ESTABLISHED连接而不是所有连接,这可以每个ip的连接数</p>
<p><br><div class="msgheader"><div class="right"><span style="CURSOR: pointer" class="copybut"><u>复制代码</u></span></div>代码如下:</div><div class="msgborder" id="phpcode36">netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1</div></p>
<p>显示并且列出连接到80端口IP地址和连接数.80被用来作为HTTP<br />如何缓解ddos攻击</p>
<p>当你发现攻击你服务器的IP你可以使用下面的命令来关闭他们的连接:</p>
<p><br><div class="msgheader"><div class="right"><span style="CURSOR: pointer" class="copybut"><u>复制代码</u></span></div>代码如下:</div><div class="msgborder" id="phpcode37">iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT</div></p>
<p>请注意你必须用你使用netstat命令找到的IP数替换$IPADRESS</p>
頁:
[1]