配合 awk, cut, sort, uniq 指令, 可以印出每個 ip 的連線數量, 並用連線數量排序由多而小, 以下會針對 TCP ESTABLISHED 連線檢查:- netstat -an|grep ESTABLISHED|awk '/^tcp/ {print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|more
- netstat -ntu | grep :80 | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr|more
- netstat -atnp -A inet | grep ":80" | awk -F " " '{print $5}' | awk -F ":" '{print $1}' | sort | uniq -c | sort -nr | head -10
透過以上方法找到來源 ip 後, 例如 ip 是 x.x.x.x, 可以用 iptables 阻擋攻擊; O; g |. I3 t
封鎖 IP- iptables -A INPUT -p all -s x.x.x.x/32 -j DROP
- iptables -D INPUT -p all -s x.x.x.x/32 -j DROP
) S5 ? @! M" S1 G; ^https://www.phpini.com/linux/linux-netstat-detect-ddos* j$ s) ]1 {3 C! |. _! T% S& e4 ]- q; _
https://www.phpini.com/linux/count-ip-connections8 q, A5 F, w M- C3 U4 E8 w0 H
https://www.phpini.com/linux/netstat-check-connections- I- t& x7 P3 T0 y* G( [
=================================================0 c- G$ [' i) Y3 Q! U* \$ O# Z4 }
另外:6 P; M5 r* ~* I" `9 n& g8 Q; s9 J
查詢哪些port被哪些應用程式佔用:
6 B: Y1 ?5 Q2 }9 N+ ^( }1.)- netstat -tulpn | grep LISTEN
- lsof -i -P -n | grep LISTEN
- sudo nmap -sT -O localhost
查詢某個port佔用的backlogbacklog應該多大? 參考: https://cloud.tencent.com/developer/article/1644836. f, K0 d0 |1 p7 x# X0 [
|
|
發表於 2017-2-13 08:41:52
