Linux系統中使用netstat命令驗證DDOS攻擊

一般來說，服務器非常慢可能原因是多方面的，有可能是配置錯誤，腳本錯誤或者是一些奇詭的硬件。當然也有可能是有人對你的服務器進行 Dos (拒絕服務攻擊)或者 DDOS (分布式拒絕服務攻擊)，泰州網站建設公(gong)司宇易網絡(luo)最近就遇到了DDOS攻擊(ji)。

Dos攻(gong)擊(ji)或者DDos攻(gong)擊(ji)目的(de)(de)是使(shi)(shi)(shi)服(fu)(fu)務(wu)器或者網絡資源(yuan)耗盡，使(shi)(shi)(shi)其他用戶無法(fa)(fa)使(shi)(shi)(shi)用。一般(ban)來說，這種攻(gong)擊(ji)主(zhu)要針對(dui)重(zhong)要的(de)(de)網站(zhan)或服(fu)(fu)務(wu)，比如銀(yin)行(xing)、信用卡 支付網關甚(shen)至是根(gen)域名服(fu)(fu)務(wu)器。Dos攻(gong)擊(ji)主(zhu)要通過(guo)強制目標(biao)主(zhu)機重(zhong)啟(qi)或大量消耗其主(zhu)機資源(yuan)，使(shi)(shi)(shi)得(de)目標(biao)主(zhu)機無法(fa)(fa)提供服(fu)(fu)務(wu)或者妨害主(zhu)機和用戶之間的(de)(de)通信的(de)(de)手段， 使(shi)(shi)(shi)得(de)主(zhu)機無法(fa)(fa)提供正常的(de)(de)服(fu)(fu)務(wu)的(de)(de)。

在(zai)(zai)本文中(zhong)你將知道如何(he)在(zai)(zai)終端(duan)中(zhong)使用netstat命令(ling)判(pan)斷服(fu)務器是否遭受Dos攻擊。

netstat命令的用戶手冊描述其作用是(shi)用來顯(xian)示(shi)網絡連(lian)接(jie)、路由(you)表、接(jie)口統計、偽(wei)連(lian)接(jie)和組播(bo)成員的。

一些例子和解釋(shi)

1. netstat -na

該命令將顯示所有活動的網絡連接。

1. netstat -an | grep :80 | sort

顯示所(suo)有80端(duan)口(kou)的(de)網絡連接(jie)并排序。這里的(de)80端(duan)口(kou)是(shi)http端(duan)口(kou)，所(suo)以(yi)可以(yi)用(yong)來監控web服務。如果(guo)看(kan)到同一個IP有大量連接(jie)的(de)話就可以(yi)判定單點流量攻擊了。

1. netstat -n -p|grep SYN_REC | wc -l

這(zhe)個(ge)命(ming)令(ling)可以查找出(chu)當前服務(wu)器有多少(shao)個(ge)活動的 SYNC_REC 連接。正(zheng)常來說這(zhe)個(ge)值很(hen)小(xiao)，最好小(xiao)于5。 當有Dos攻擊或者郵件炸彈的時候，這(zhe)個(ge)值相當的高。盡(jin)管如(ru)此(ci)，這(zhe)個(ge)值和系統有很(hen)大(da)關系，有的服務(wu)器值就很(hen)高，也是正(zheng)常現象。

1. netstat -n -p | grep SYN_REC | sort -u

列出所(suo)有(you)連接(jie)過的IP地址。

1. netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'

列出(chu)所有發(fa)送SYN_REC連接(jie)節點(dian)的IP地址。

1. netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

使用(yong)netstat命令計算每個(ge)主機連接(jie)到本(ben)機的連接(jie)數。

1. netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

列出所有連接到本機(ji)的(de)UDP或者TCP連接的(de)IP數量。

1. netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

檢查 ESTABLISHED 連接并且列(lie)出(chu)每個(ge)IP地址的連接數量。

1. netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1

列出所有連接到本機(ji)80端口的IP地(di)址和其連接數(shu)。80端口一(yi)般是用來處理HTTP網頁請求(qiu)。

如何減(jian)少DOS攻擊

一旦你獲得攻擊服務(wu)器的(de)IP地址(zhi)你就可以(yi)使用(yong)以(yi)下(xia)命令拒絕此IP的(de)所有連接。

1. iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT

注(zhu)意，你需要將 $IPADRESS 替(ti)換成需要拒絕連接(jie)的IP地(di)址。

執(zhi)行完(wan)以(yi)上命令后，使用以(yi)下(xia)命令結束所有(you)的httpd連(lian)接以(yi)清理系統。

1. killall -KILL httpd #apache服務器
   
2. killall -KILL nginxd #nginx服務器
   

然后執(zhi)行以下命令重(zhong)啟httpd服務(wu)。

1. service httpd start #apache服務器
2. service nginxd start  #nginx服務器