很多時(shí)候我們會(huì)遇到服務(wù)器遭受 cc 或 syn 等攻擊糙俗,如果發(fā)現(xiàn)自己的網(wǎng)站訪問(wèn)異常緩慢且流量異常缆毁±竺蓿可以使用系統(tǒng)內(nèi)置 netstat 命令 簡(jiǎn)單判斷一下服務(wù)器是否被攻擊酝锅。常用的 netstat 命令
該命令將顯示所有活動(dòng)的網(wǎng)絡(luò)連接诡必。
netstat -na
查看同時(shí)連接到哪個(gè)服務(wù)器 IP 比較多,cc 攻擊用搔扁。使用雙網(wǎng)卡或多網(wǎng)卡可用爸舒。
netstat -an|awk '{print $4}'|sort|uniq -c|sort -nr|head
查看哪些 IP 連接到服務(wù)器連接多,可以查看連接異常 IP稿蹲。
netstat -an|awk -F: '{print $2}'|sort|uniq -c|sort -nr|head
顯示所有 80 端口的網(wǎng)絡(luò)連接并排序扭勉。這里的 80 端口是 http 端口,所以可以用來(lái)監(jiān)控 web 服務(wù)苛聘。如果看到同一個(gè) IP 有大量連接的話就可以判定單點(diǎn)流量攻擊了涂炎。
netstat -an | grep :80 | sort
這個(gè)命令可以查找出當(dāng)前服務(wù)器有多少個(gè)活動(dòng)的 SYNC_REC 連接。正常來(lái)說(shuō)這個(gè)值很小设哗,最好小于 5唱捣。 當(dāng)有 Dos 攻擊或的時(shí)候,這個(gè)值相當(dāng)?shù)母咄摇5怯行┎l(fā)很高的服務(wù)器震缭,這個(gè)值確實(shí)是很高,因此很高并不能說(shuō)明一定被攻擊澎粟。
netstat -n -p|grep SYN_REC | wc -l
列出所有連接過(guò)的 IP 地址蛀序。
netstat -n -p | grep SYN_REC | sort -u
列出所有發(fā)送 SYN_REC 連接節(jié)點(diǎn)的 IP 地址欢瞪。
netstat -n -p | grep SYN_REC | awk '{print 
1}'
使用 netstat 命令計(jì)算每個(gè)主機(jī)連接到本機(jī)的連接數(shù)。
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
列出所有連接到本機(jī)的 UDP 或者 TCP 連接的 IP 數(shù)量徐裸。
netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
檢查 ESTABLISHED 連接并且列出每個(gè) IP 地址的連接數(shù)量遣鼓。
netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr
列出所有連接到本機(jī) 80 端口的 IP 地址和其連接數(shù)。80 端口一般是用來(lái)處理 HTTP 網(wǎng)頁(yè)請(qǐng)求重贺。
netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1
顯示連接 80 端口前 10 的 ip骑祟,并顯示每個(gè) IP 的連接數(shù)。這里的 80 端口是 http 端口气笙,所以可以用來(lái)監(jiān)控 web 服務(wù)次企。如果看到同一個(gè) IP 有大量連接的話就可以判定單點(diǎn)流量攻擊了。
