NetStat：检测DDoS攻击的提示

我发现了一篇非常有趣的文章 linuxaria 如何检测我们的服务器是否受到攻击 DDoS攻击 （分布式拒绝服务），还是一样的， 拒绝服务攻击.

这种类型的攻击非常普遍，这可能是我们的服务器运行缓慢（尽管它也可能是第8层问题）的原因，并且无需事先警告就不会受到伤害。 为此，您可以使用该工具 netstat命令，这使我们可以查看网络连接，路由表，接口统计信息和其他一系列信息。

NetStat示例

网络统计-na

该屏幕将包括服务器上所有活动的Internet连接以及仅已建立的连接。

netstat -an | grep：80 | 分类

仅显示端口80（即http端口）上与服务器的活动Internet连接，并对结果进行排序。 对检测单个洪水有用（洪水），因此它可以识别许多来自IP地址的连接。

netstat -n -p | grep SYN_REC | wc -l

该命令对于了解服务器上正在发生多少个活动SYNC_REC很有用。 该数字应该非常低，最好小于5。 在拒绝服务攻击或邮件爆炸的事件中，这一数字可能很高。 但是，该值始终取决于系统，因此较高的值在另一台服务器上可能是正常的。

netstat -n -p | grep SYN_REC | 排序-u

列出所有涉及者的IP地址。

netstat -n -p | grep SYN_REC | awk'{print $ 5}'| awk -F：“ {print $ 1}”

列出正在发送SYN_REC连接状态的节点的所有唯一IP地址。

netstat -ntu | awk'{print $ 5}'| 切-d：-f1 | 排序uniq -c | 排序-n

使用netstat命令可以计算和计算从您建立的每个IP地址到服务器的连接数。

netstat -anp | grep'tcp | udp'| awk'{print $ 5}'| 切-d：-f1 | 排序uniq -c | 排序-n

使用TCP或UDP协议连接到服务器的IP地址数。

netstat -ntu | grep ESTAB | awk'{print $ 5}'| 切-d：-f1 | 排序uniq -c | 排序-nr

检查标记为ESTABLISHED的连接而不是所有连接，并显示每个IP的连接。

netstat -plan | grep：80 | awk {'print $ 5'} | cut -d：-f 1 |排序| uniq -c | sort -nk 1

显示和列出IP地址及其连接到服务器上端口80的连接数。 端口80主要由HTTP用于Web请求。

如何缓解DOS攻击

找到服务器正在攻击的IP后，可以使用以下命令来阻止它们与服务器的连接：

iptables -A输入1 -s $ IPADRESS -j删除/拒绝

请注意，您必须用netstat找到的IP地址替换$ IPADRESS。

触发上述命令后，请杀死所有httpd连接以清理系统并稍后使用以下命令重新启动它：

killall -杀死 httpd

service httpd start＃对于Red Hat系统/ etc / init / d / apache2 restart＃对于Debian系统

数据来源： linuxaria