作者/来源:新睿云小编 发布时间:2019-07-16
如何在Linux终端上使用netstat命令验证DDOS攻击
一些例子有解释
netstat -na
这将显示与服务器的所有活动Internet连接,并且仅包括已建立的连接。
netstat -an | grep:80 | sort
在端口80上仅显示与服务器的活动Internet连接,这是http端口,因此如果您有Web服务器并对结果进行排序,则它非常有用。通过允许您识别来自一个IP的许多连接,可用于检测单个洪水。
netstat -n -p | grep SYN_REC | wc -l
此命令可用于查明服务器上正在发生的活动SYNC_REC数量。这个数字应该相当低,最好少于5个。在DoS攻击事件或邮件炸弹中,这个数字可以跳得很高。但是,该值始终取决于系统,因此较高的值可能是另一台服务器上的平均值。
netstat -n -p | grep SYN_REC | sort-u
列出所涉及的所有IP地址,而不仅仅是计数。
netstat -n -p | grep SYN_REC | awk'{print $ 5}'| awk -F:'{print $ 1}'
检查ESTABLISHED连接而不是所有连接,并显示每个IP的连接数。
netstat -plan | grep:80 | awk {'print $ 5'} | cut -d:-f 1 | sort | uniq -c | sort -nk 1
显示并列出连接到服务器端口80的IP地址及其连接计数。端口80主要由HTTP网页请求使用。
如何减轻DOS攻击
一旦找到攻击服务器的IP,就可以使用以下命令阻止它们与服务器的连接:
iptables -A INPUT 1 -s $ IPADRESS -j DROP / REJECT
请注意,您必须将$ IPADRESS替换为您使用netstat找到的IP号。
触发上述命令后,KILL所有httpd连接清理系统,然后
使用以下命令重新启动httpd服务:
内存检查使用的apache
mysql connection count netstat -antp | grep :3306 | wc -l
count connection Stat, Listen, Established, Foreign netstat -ant | awk '{print $6}' | sort | uniq -c | sort -n
killall -KILL httpd
service httpd start #For Red Hat systems /etc/init/d/apache2 restart #For Debian systems
为您提供出众的上云实践机会和全面的尊贵服务
立即注册
7*24
多渠道服务与支持
意见
反馈与投诉建议
1V1
专项服务
退款
7天无理由退款
企业电话:400-1515-720
企业邮箱:service@unionstech.cn
投诉邮箱:abuse@unionstech.cn
总部地址:北京市海淀区中关村E世界C座8层
每周有1个神秘大奖哟!
为您提供出众的上云实践机会和全面的尊贵服务
立即注册
每周有1个神秘大奖哟
联系我们
400-1515-720
service@unionstech.cn
北京市海淀区中关村E世界C座8层
京公网安备11010802031553号
QQ咨询
在线咨询
咨询热线