Linux上使用netstat命令查證DDOS攻擊

你可以知道在受到攻擊之後如何在終端中使用netstat命令檢查你的服務器。

　　一些例子和解釋

netstat -na顯示所有連接到服務器的活躍的網絡連接netstat -an | grep :80 | sort只顯示連

接到80段口的活躍的網絡連接,80是http端口,這對於web服務器非常有用,並且對結果排序.對

於你從許多的連接中找出​​單個發動洪水攻擊IP非常有用netstat -n -p|grep SYN_REC | wc -l

這個命令對於在服務器上找出活躍的SYNC_REC非常有用,數量應該很低,最好少於5.在dos攻

擊和郵件炸彈,這個數字可能非常高.然而值通常依賴於系統,所以高的值可能平分給另外的服

務器.netstat -n -p | grep SYN_REC | sort -u列出所有包含的IP地址而不僅僅是計數.netstat -

n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'列出所有不同的IP地址節點發送

SYN_REC的連接狀態netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n使

用netstat命令來計算每個IP地址對服務器的連接數量netstat -anp |grep 'tcp |udp' | awk

'{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n列出使用tcp和udp連接到服務器的數目

netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr檢查

ESTABLISHED連接而不是所有連接,這可以每個ip的連接數netstat -plan|grep :80|awk

{'print $5' }|cut -d: -f 1|sort|uniq -c|sort -nk 1顯示並且列出連接到80端口IP地址和連接

數.80被用來作為HTTP

　　如何緩解DDoS攻擊

當你發現攻擊你服務器的IP你可以使用下面的命令來關閉他們的連接：

iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT

請注意你必須用你使用netstat命令找到的IP數替換$IPADRESS

在完成以上的命令，使用下面的命令殺掉所有httpd連接，清除你的系統，然後重啟httpd服務。

killall -KILL httpd service httpd start #For Red Hat systems /etc/init/d/apache2 restart