簡(jiǎn)單幾步即可判斷Linux服務(wù)器有無(wú)被DDOS攻擊的方

一般來(lái)說(shuō)，非常慢可能原因是多方面的，有可能是配置錯誤，錯誤或者是一些奇詭的硬件。當然也有可能是有人對你的服務(wù)器進(jìn)行 Dos (拒絕服務(wù)攻擊)或者 (分布式拒絕服務(wù)攻擊)。

Dos攻擊或者DDos攻擊目的是使服務(wù)器或者網(wǎng)絡(luò )資源耗盡，使其他用戶(hù)無(wú)法使用。一般來(lái)說(shuō)，這種攻擊主要針對重要的網(wǎng)站或服務(wù)，比如銀行、信用卡支付網(wǎng)關(guān)甚至是根服務(wù)器。Dos攻擊主要通過(guò)強制目標主機重啟或大量消耗其主機資源，使得目標主機無(wú)法提供服務(wù)或者妨害主機和用戶(hù)之間的通信的手段，使得主機無(wú)法提供正常的服務(wù)的。

在本文中你將知道如何在終端中使用netstat命令判斷服務(wù)器是否遭受Dos攻擊。

netstat命令的用戶(hù)手冊描述其作用是用來(lái)顯示網(wǎng)絡(luò )連接、路由表、接口統計、偽連接和組播成員的。

一些例子和解釋

netstat -na

該命令將顯示所有活動(dòng)的網(wǎng)絡(luò )連接。

netstat -an | grep :80 | sort

顯示所有80端口的網(wǎng)絡(luò )連接并排序。這里的80端口是http端口，所以可以用來(lái)監控web服務(wù)。如果看到同一個(gè)IP有大量連接的話(huà)就可以判定單點(diǎn)流量攻擊了。

netstat -n -p|grep SYN_REC | wc -l

這個(gè)命令可以查找出當前服務(wù)器有多少個(gè)活動(dòng)的 SYNC_REC 連接。正常來(lái)說(shuō)這個(gè)值很小，最好小于5。 當有Dos攻擊或者郵件炸彈的時(shí)候，這個(gè)值相當的高。盡管如此，這個(gè)值和有很大關(guān)系，有的服務(wù)器值就很高，也是正?，F象。

netstat -n -p | grep SYN_REC | sort -u

列出所有連接過(guò)的IP地址。

netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'

列出所有發(fā)送SYN_REC連接節點(diǎn)的IP地址。

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

使用netstat命令計算每個(gè)主機連接到本機的連接數。

netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

列出所有連接到本機的UDP或者TCP連接的IP數量。

netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

檢查 ESTABLISHED 連接并且列出每個(gè)IP地址的連接數量。

netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1

列出所有連接到本機80端口的IP地址和其連接數。80端口一般是用來(lái)處理網(wǎng)頁(yè)請求。

如何減少DDOS攻擊

一旦你獲得攻擊服務(wù)器的IP地址你就可以使用以下命令拒絕此IP的所有連接。

iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT

注意，你需要將 $IPADRESS 替換成需要拒絕連接的IP地址。

執行完以上命令后，使用以下命令結束所有的httpd連接以清理系統。

killall -KILL httpd

然后執行以下命令重啟httpd服務(wù)。

service httpd start           #RedHat 系統 
/etc/init/d/apache2 restart   # 系統

來(lái)源鏈接：https://www.zyhot.com/article/6067.html

本站聲明:網(wǎng)站內容來(lái)源于網(wǎng)絡(luò ),如有侵權,請聯(lián)系我們,我們將及時(shí)處理。