1.DOS攻擊原理

拒絕服務攻擊（DoS攻擊）或分布式拒絕服務攻擊（DDoS攻擊）是企圖使其預期用戶無法使用計算機或網絡資源。此攻擊通常針對托管在高級Web服務器上的站點或服務，例如銀行，信用卡支付網關甚至根名稱服務器。DoS攻擊是通過強制目標計算機重置或消耗其資源以使其無法再提供其服務或阻礙用戶與受害者之間的通信媒體以使其無法再充分通信來實現的。

2.Netstat命令識別洪水攻擊過程

我接下來演示提有關如何使用netstat命令識別DDOS攻擊的概述。

#netstat-na

顯示與服務器的所有活動Internet連接，并且僅包括已建立的連接。

#netstat-an|grep：80|分類

在端口80上僅顯示與服務器的活動Internet連接并對結果進行排序。通過允許您識別來自一個IP的許多連接，可用于檢測單個洪水。

#netstat-n-p|grepSYN_REC|wc-l

了解服務器上正在發生的SYNC_REC數量。這個數字應該相當低，最好少于5個。在DoS攻擊事件或郵件炸彈中，這個數字可以跳得很高。但是，該值始終取決于系統，因此較高的值可能是另一臺服務器上的平均值。

#netstat-n-p|grepSYN_REC|排序-u

列出所涉及的所有IP地址。

#netstat-n-p|grepSYN_REC|awk'{print$5}'|awk-F：'{print$1}'

列出發送SYN_REC連接狀態的節點的所有唯一IP地址。

#netstat-ntu|awk'{print$5}'|cut-d：-f1|排序|uniq-c|排序-n

使用netstat命令計算和計算每個IP地址對服務器的連接數。

#netstat-anp|grep'tcp\|udp'|awk'{print$5}'|cut-d：-f1|排序|uniq-c|排序-n

列出使用TCP或UDP協議將IP連接到服務器的連接數。

#netstat-ntu|grepESTAB|awk'{print$5}'|cut-d：-f1|排序|uniq-c|sort-nr

檢查ESTABLISHED連接而不是所有連接，并顯示每個IP的連接數。

#netstat-plan|grep：80|awk{'print$5'}|cut-d：-f1|sort|uniq-c|sort-nk1

顯示連接到服務器上端口80的IP地址及其連接數。端口80主要由HTTP協議使用。

這些是我日常經驗之談，希望對你有幫助！