如何使用netstat命令辨別DDOS入侵

通常來講，服務器很是慢可能緣由是多方面的，有多是配置錯誤，腳本錯誤或者是一些奇詭的硬件。固然也有多是有人對你的服務器進行 Dos (拒絕服務攻擊)或者 DDOS (分佈式拒絕服務攻擊)。

Dos攻擊或者DDos攻擊目的是使服務器或者網絡資源耗盡，使其餘用戶沒法使用。通常來講，這種攻擊主要針對重要的網站或服務，好比銀行、信用卡支付網關甚至是根域名服務器。Dos攻擊主要經過強制目標主機重啓或大量消耗其主機資源，使得目標主機沒法提供服務或者妨害主機和用戶之間的通訊的手段，使得主機沒法提供正常的服務的。

在本文中你將知道如何在終端中使用netstat命令判斷服務器是否遭受Dos攻擊。

netstat命令的用戶手冊描述其做用是用來顯示網絡鏈接、路由表、接口統計、僞鏈接和組播成員的。

一些例子和解釋

netstat -na

該命令將顯示全部活動的網絡鏈接。

netstat -an | grep :80 | sort

顯示全部80端口的網絡鏈接並排序。這裏的80端口是http端口，因此能夠用來監控web服務。若是看到同一個IP有大量鏈接的話就能夠斷定單點流量攻擊了。

netstat -n -p|grep SYN_REC | wc -l

這個命令能夠查找出當前服務器有多少個活動的 SYNC_REC 鏈接。正常來講這個值很小，最好小於5。 當有Dos攻擊或者郵件炸彈的時候，這個值至關的高。儘管如此，這個值和系統有很大關係，有的服務器值就很高，也是正常現象。

netstat -n -p | grep SYN_REC | sort -u

列出全部鏈接過的IP地址。

netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'

列出全部發送SYN_REC鏈接節點的IP地址。

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

使用netstat命令計算每一個主機鏈接到本機的鏈接數。

netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

列出全部鏈接到本機的UDP或者TCP鏈接的IP數量。

netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

檢查 ESTABLISHED 鏈接而且列出每一個IP地址的鏈接數量。

netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1

列出全部鏈接到本機80端口的IP地址和其鏈接數。80端口通常是用來處理HTTP網頁請求。

如何減小DOS攻擊

一旦你得到攻擊服務器的IP地址你就可使用如下命令拒絕此IP的全部鏈接。

iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT

注意，你須要將 $IPADRESS 替換成須要拒絕鏈接的IP地址。

執行完以上命令後，使用如下命令結束全部的httpd鏈接以清理系統。

killall -KILL httpd

而後執行如下命令重啓httpd服務。

service httpd start           #RedHat 系統 
/etc/init/d/apache2 restart   #Debian 系統

本文地址：https://www.linuxprobe.com/netstat-ddos.html