摘要:一般來說,服務器非常慢可能原因是多方面的,有可能是配置錯誤,腳本錯誤或者是一些奇詭的硬件瓢颅。當然也有可能是有人對你的服務器進行Dos(拒絕服務攻擊)或者DDOS(分布式拒絕服務攻擊)赎离。Dos攻擊或者DDos攻擊目的是使服務器或者網(wǎng)絡資源耗盡,使其他用戶無法使用龄寞。一般來說,這種攻擊主要針對重要的網(wǎng)站或服務,比如銀行奈泪、信用卡支付網(wǎng)關甚至是根域名服務器豪直。Dos攻擊主要通過強制目標主機重啟或大量消耗其主機資源,使得目標主機無法提供服務或者妨害主機和用戶之間的通信的手段,使得主機無法提供
一般來說,服務器非常慢可能原因是多方面的,有可能是配置錯誤,腳本錯誤或者是一些奇詭的硬件块差。當然也有可能是有人對你的服務器進行 Dos (拒絕服務攻擊)或者 DDOS (分布式拒絕服務攻擊)竞惋。
Dos攻擊或者DDos攻擊目的是使服務器或者網(wǎng)絡資源耗盡,使其他用戶無法使用试溯。一般來說,這種攻擊主要針對重要的網(wǎng)站或服務,比如銀行蔑滓、信用卡支付網(wǎng)關甚至是根域名服務器。Dos攻擊主要通過強制目標主機重啟或大量消耗其主機資源,使得目標主機無法提供服務或者妨害主機和用戶之間的通信的手段,使得主機無法提供正常的服務的耍共。
在本文中你將知道如何在終端中使用netstat命令判斷服務器是否遭受Dos攻擊烫饼。
netstat命令的用戶手冊描述其作用是用來顯示網(wǎng)絡連接、路由表试读、接口統(tǒng)計杠纵、偽連接和組播成員的。
一些例子和解釋 netstat -na
該命令將顯示所有活動的網(wǎng)絡連接钩骇。
netstat -an | grep :80 | sort
顯示所有80端口的網(wǎng)絡連接并排序比藻。這里的80端口是http端口,所以可以用來監(jiān)控web服務铝量。如果看到同一個IP有大量連接的話就可以判定單點流量攻擊了。
netstat -n -p|grep SYN_REC | wc -l
這個命令可以查找出當前服務器有多少個活動的 SYNC_REC 連接银亲。正常來說這個值很小,最好小于5慢叨。 當有Dos攻擊或者郵件炸彈的時候,這個值相當?shù)母摺1M管如此,這個值和系統(tǒng)有很大關系,有的服務器值就很高,也是正澄耱穑現(xiàn)象拍谐。
netstat -n -p | grep SYN_REC | sort -u
列出所有連接過的IP地址。
netstat -n -p | grep SYN_REC | awk '{print 1}'
列出所有發(fā)送SYN_REC連接節(jié)點的IP地址馏段。
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
使用netstat命令計算每個主機連接到本機的連接數(shù)轩拨。
netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
列出所有連接到本機的UDP或者TCP連接的IP數(shù)量。
netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr
檢查 ESTABLISHED 連接并且列出每個IP地址的連接數(shù)量院喜。
netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1
列出所有連接到本機80端口的IP地址和其連接數(shù)亡蓉。80端口一般是用來處理HTTP網(wǎng)頁請求。
如何減少DOS攻擊
一旦你獲得攻擊服務器的IP地址你就可以使用以下命令拒絕此IP的所有連接喷舀。
iptables -A INPUT 1 -s IPADRESS 替換成需要拒絕連接的IP地址砍濒。
執(zhí)行完以上命令后,使用以下命令結束所有的httpd連接以清理系統(tǒng)。
killall -KILL httpd
然后執(zhí)行以下命令重啟httpd服務硫麻。
service httpd start #RedHat 系統(tǒng) /etc/init/d/apache2 restart #Debian 系統(tǒng)
