如何在Linux上使用netstat命令查證DDOS攻擊

服務器出現緩慢的狀況可能由很多事情導致，比如錯誤的配置，腳本和差的硬件。但是有時候它可能因爲有人對你的服務器用DOS或者DDOS進行洪水攻擊。
DOS攻擊或者DDOS攻擊是試圖讓機器或者網絡資源不可用的攻擊。這種攻擊的攻擊目標網站或者服務通常是託管在高防服務器比如銀行，信用卡支付網管，甚至根域名服務器，DOS攻擊的實施通常迫使目標重啓計算機或者消耗資源，使他們不再提供服務或者妨礙用戶，訪客訪問。
在這篇小文章中，你可以知道在受到攻擊之後如何在終端中使用netstat命令檢查你的服務器。
 
一些例子和解釋

1.            netstat -na
2.            顯示所有連接到服務器的活躍的網絡連接
3.            netstat -an | grep :80 | sort
4.            只顯示連接到80段口的活躍的網絡連接,80是http端口,這對於web服務器非常有用,並且對結果排序.對於你從許多的連接中找出單個發動洪水攻擊IP非常有用
5.            netstat -n -p|grep SYN_REC | wc -l
6.            這個命令對於在服務器上找出活躍的SYNC_REC非常有用,數量應該很低,最好少於5.
7.            在dos攻擊和郵件炸彈,這個數字可能非常高.然而值通常依賴於系統,所以高的值可能平分給另外的服務器.
8.            netstat -n -p | grep SYN_REC | sort -u
9.            列出所有包含的IP地址而不僅僅是計數.
10.        netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'
11.        列出所有不同的IP地址節點發送SYN_REC的連接狀態
12.        netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
13.        使用netstat命令來計算每個IP地址對服務器的連接數量
14.        netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
15.        列出使用tcp和udp連接到服務器的數目
16.        netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr
17.        檢查ESTABLISHED連接而不是所有連接,這可以每個ip的連接數
18.        netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1
19.        顯示並且列出連接到80端口IP地址和連接數.80被用來作爲HTTP

 
如何緩解DDOS攻擊
當你發現攻擊你服務器的IP你可以使用下面的命令來關閉他們的連接：

1.            iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT

 
請注意你必須用你使用netstat命令找到的IP數替換$IPADRESS 
在完成以上的命令，使用下面的命令殺掉所有httpd連接，清除你的系統，然後重啓httpd服務。

           killall -KILL httpd
            
          service httpd start           #For Red Hat systems
           /etc/init/d/apache2 restart   #For Debian systems

 

原文由邪紅色信息安全組織[OWL]翻譯自：http://linuxaria.com/howto/how-to-verify-ddos-attack-with-netstat-command-on-linux-terminal