如何使用netstat命令辨別DDOS入侵？

1.DOS攻擊原理

拒絕服務攻擊（DoS攻擊）或分布式拒絕服務攻擊（DDoS攻擊）是企圖使其預期用戶無法使用計算機或網(wǎng)絡資源。此攻擊通常針對托管在高級Web服務器上的站點或服務，例如銀行，信用卡支付網(wǎng)關甚至根名稱服務器。DoS攻擊是通過強制目標計算機重置或消耗其資源以使其無法再提供其服務或阻礙用戶與受害者之間的通信媒體以使其無法再充分通信來實現(xiàn)的。

2.Netstat命令識別洪水攻擊過程

我接下來演示提有關如何使用netstat命令識別DDOS攻擊的概述。

#netstat -na

顯示與服務器的所有活動Internet連接，并且僅包括已建立的連接。

#netstat -an | grep：80 | 分類

在端口80上僅顯示與服務器的活動Internet連接并對結果進行排序。通過允許您識別來自一個IP的許多連接，可用于檢測單個洪水。

#netstat -n -p | grep SYN_REC | wc -l

了解服務器上正在發(fā)生的SYNC_REC數(shù)量。這個數(shù)字應該相當?shù)停詈蒙儆?個。在DoS攻擊事件或郵件炸彈中，這個數(shù)字可以跳得很高。但是，該值始終取決于系統(tǒng)，因此較高的值可能是另一臺服務器上的平均值。

#netstat -n -p | grep SYN_REC | 排序-u

列出所涉及的所有IP地址。

#netstat -n -p | grep SYN_REC | awk'{print $ 5}'| awk -F：'{print $ 1}'

列出發(fā)送SYN_REC連接狀態(tài)的節(jié)點的所有唯一IP地址。

#netstat -ntu | awk'{print $ 5}'| cut -d：-f1 | 排序| uniq -c | 排序-n

使用netstat命令計算和計算每個IP地址對服務器的連接數(shù)。

#netstat -anp | grep'tcp \ | udp'| awk'{print $ 5}'| cut -d：-f1 | 排序| uniq -c | 排序-n

列出使用TCP或UDP協(xié)議將IP連接到服務器的連接數(shù)。

#netstat -ntu | grep ESTAB | awk'{print $ 5}'| cut -d：-f1 | 排序| uniq -c | sort -nr

檢查ESTABLISHED連接而不是所有連接，并顯示每個IP的連接數(shù)。

#netstat -plan | grep：80 | awk {'print $ 5'} | cut -d：-f 1 | sort | uniq -c | sort -nk 1

顯示連接到服務器上端口80的IP地址及其連接數(shù)。端口80主要由HTTP協(xié)議使用。

這些是我日常經(jīng)驗之談，希望對你有幫助！