Linux中國
如何使用netstat命令驗證DDOS入侵
在本文中你將知道如何在終端中使用netstat命令判斷伺服器是否遭受Dos攻擊。
netstat命令的用戶手冊描述其作用是用來顯示網路連接、路由表、介面統計、偽連接和組播成員的。
一些例子和解釋
netstat -na
該命令將顯示所有活動的網路連接。
netstat -an | grep :80 | sort
顯示所有80埠的網路連接並排序。這裡的80埠是http埠,所以可以用來監控web服務。如果看到同一個IP有大量連接的話就可以判定單點流量攻擊了。
netstat -n -p|grep SYN_REC | wc -l
這個命令可以查找出當前伺服器有多少個活動的 SYNC_REC 連接。正常來說這個值很小,最好小於5。 當有Dos攻擊或者郵件炸彈的時候,這個值相當的高。儘管如此,這個值和系統有很大關係,有的伺服器值就很高,也是正常現象。
netstat -n -p | grep SYN_REC | sort -u
列出所有連接過的IP地址。
netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'
列出所有發送SYN_REC連接節點的IP地址。
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
使用netstat命令計算每個主機連接到本機的連接數。
netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
列出所有連接到本機的UDP或者TCP連接的IP數量。
netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr
檢查 ESTABLISHED 連接並且列出每個IP地址的連接數量。
netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1
列出所有連接到本機80埠的IP地址和其連接數。80埠一般是用來處理HTTP網頁請求。
如何減少DOS攻擊
一旦你獲得攻擊伺服器的IP地址你就可以使用以下命令拒絕此IP的所有連接。
iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT
注意,你需要將 $IPADRESS 替換成需要拒絕連接的IP地址。
執行完以上命令後,使用以下命令結束所有的httpd連接以清理系統。
killall -KILL httpd
然後執行以下命令重啟httpd服務。
service httpd start #RedHat 系統
/etc/init/d/apache2 restart #Debian 系統
via: http://linuxaria.com/howto/how-to-verify-ddos-attack-with-netstat-command-on-linux-terminal
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive
對這篇文章感覺如何?
太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
More in:Linux中國
如何通過 VLC 使用字幕
使用 VLC 媒體播放器播放和管理字幕的新手指南。
Unix 桌面:在 Linux 問世之前
僅僅開源還不足以實現開放,還需開放標準和建立共識。
Valve 對於 Ubuntu 的 Snap 版本的 Steam 並不滿意:原因何在
你可能會發現,Snap 版本的 Steam 並不如你期待的那樣好,你怎麼看?
Wine 9.0 發布,實驗性地加入了 Wayland 驅動
Wine 的這個新版本正在為未來做好準備!