NetStat：檢測DDoS攻擊的提示

我發現了一篇非常有趣的文章 linuxaria 如何檢測我們的服務器是否受到攻擊 DDoS攻擊 （分佈式拒絕服務），還是一樣的， 拒絕服務攻擊.

這種類型的攻擊非常普遍，這可能是我們的服務器運行緩慢（儘管這也可能是第8層問題）的原因，並且無需事先警告就不會受到傷害。 為此，您可以使用該工具 netstat命令，這使我們可以查看網絡連接，路由表，接口統計信息和其他一系列信息。

NetStat示例

網絡統計-na

該屏幕將包括服務器上所有活動的Internet連接以及僅已建立的連接。

netstat -an | grep：80 | 分類

在端口80（即http端口）上僅顯示與服務器的活動Internet連接，並對結果進行排序。 在檢測單個洪水時很有用（洪水），因此它可以識別IP地址中的許多連接。

netstat -n -p | grep SYN_REC | wc -l

該命令對於了解服務器上正在發生多少個活動SYNC_REC很有用。 該數字應該非常低，最好小於5。 在拒絕服務攻擊或郵件炸彈事件中，這個數字可能很高。 但是，該值始終取決於系統，因此在其他服務器上，較高的值可能是正常的。

netstat -n -p | grep SYN_REC | 排序-u

列出所有涉及者的IP地址。

netstat -n -p | grep SYN_REC | awk'{print $ 5}'| awk -F：“ {print $ 1}”

列出正在發送SYN_REC連接狀態的節點的所有唯一IP地址。

netstat -ntu | awk'{print $ 5}'| 切-d：-f1 | 排序uniq -c | 排序-n

使用netstat命令可以計算和計算從您建立的每個IP地址到服務器的連接數。

netstat -anp | grep'tcp | udp'| awk'{print $ 5}'| 切-d：-f1 | 排序uniq -c | 排序-n

使用TCP或UDP協議連接到服務器的IP地址數。

netstat -ntu | grep ESTAB | awk'{print $ 5}'| 切-d：-f1 | 排序uniq -c | 排序-nr

檢查標記為ESTABLISHED的連接，而不是所有連接，並顯示每個IP的連接。

netstat -plan | grep：80 | awk {'print $ 5'} | cut -d：-f 1 |排序| uniq -c | sort -nk 1

顯示和列出IP地址及其連接到服務器上端口80的連接數。 端口80主要由HTTP用於Web請求。

如何緩解DOS攻擊

找到服務器正在攻擊的IP後，可以使用以下命令來阻止它們與服務器的連接：

iptables -A輸入1 -s $ IPADRESS -j刪除/拒絕

請注意，您必須用在netstat中找到的IP地址替換$ IPADRESS。

觸發上述命令後，請殺死所有httpd連接以清理系統並稍後使用以下命令重新啟動它：

killall -殺死 httpd

service httpd start＃對於Red Hat系統/ etc / init / d / apache2 restart＃對於Debian系統

來源： linuxaria