明明白白你的Linux服務器——網絡篇(2)

 3、 尋找惡意IP並用iptables禁止掉

找出惡意鏈接你的服務器80端口的IP，直接用iptables來drop掉它；這裏建議寫腳原本運行，有興趣的請參考我在51cto.com裏發表的自動分析黑名單及白名單的iptables腳本一文

netstat -an| grep :80 | grep -v 127.0.0.1 |awk '{ print $5 }' | sort|awk -F: 
  '{print $1,$4}' | uniq -c | awk '$1 >50 {print $1,$2}'

iptables腳本執行完畢後，用iptables –nv –L 可查看其規則，下面的iptables語法比較詳細，推薦記憶

iptables [-t表名] <-A| I |D |R > 鏈名[規則編號] [-i | o 網卡名稱] [-p 協議類型] [-s 源IP地址 | 源子網][--sport 源端口號] [-d 目標IP地址 | 目標子網][--dport 目標端口號] <-j 動做>

4、SMTP會話處理方式

捕獲一個SMTP會話，如下命令很管用，推薦下 ；不喜歡用命令的同窗我推薦用wireshark

tcpdump -vv –x –X –s 1500 `port 25`

5、打印自動運行服務

打印出自動運行的服務，三、5級別的便可；固然喜歡圖形的同窗可用ntsysv工具。

[root@ltos test]# chkconfig -list | grep 3:on | awk '{print $1,$5}'
[root@ltos test]# chkconfig –list | grep 5:on | awk '{print $1,$7}'

6、使用Netstat查看協議數據

Netstat用於顯示與IP、TCP、UDP和ICMP協議相關的統計數據，通常用於檢驗本機各端口的網絡鏈接狀況。

NETSTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-v] [interval]
-a 顯示全部鏈接和監聽端口。
-b 顯示包含於建立每一個鏈接或監聽端口的可執行組件。
-e 顯示以太網統計信息。此選項能夠與-s選項組合使用。
-n 以數字形式顯示地址和端口號。
-o 顯示與每一個鏈接相關的所屬進程 ID。
-p proto 顯示 proto 指定的協議的鏈接。
-r 顯示路由表。
-s 顯示按協議統計信息。

通常用得比較多的就是netstat -an與netstat –rn