2024年11月Linux查看系统是否被cc攻击的方法

发布时间:

  ⑴攻击主要攻击页面,模拟很多用户来不断的访问网站,导致系统资源被大量占用,那么在Linux系统中,我们要如何知道自己是否被攻击了呢?

  ⑵查看所有端口的连接数

  ⑶stat -nat|grep -i “”|wc -l

  ⑷对连接的IP按连接数量进行排序

  ⑸stat -ntu | awk ‘{print $}’ | cut -d: -f | sort | uniq -c | sort -n

  ⑹查看TCP连接状态

  ⑺stat -nat |awk ‘{print $}’|sort|uniq -c|sort -rn

  ⑻stat -n | awk ‘/^tcp/ {++S[$NF]};END {for(a in S print a, S[a]}’

  ⑼stat -n | awk ‘/^tcp/ {++state[$NF]}; END {for(key in state print key,“ ”,state[key]}’

  ⑽stat -n | awk ‘/^tcp/ {++arr[$NF]};END {for(k in arr print k,“ ”,arr[k]}’

  ⑾stat -n |awk ‘/^tcp/ {print $NF}’|sort|uniq -c|sort -rn

  ⑿stat -ant | awk ‘{print $NF}’ | grep -v ‘[a-z]’ | sort | uniq -c

  ⒀查看端口连接数最多的个IP

  ⒁stat -anlp|grep |grep tcp|awk ‘{print $}’|awk -F: ‘{print $}’|sort|uniq -c|sort -nr|head -n

  ⒂stat -ant |awk ‘/:/{split($,ip,“:”;++A[ip[]]}END{for(i in A print A,i}’ |sort -rn|head -n

  ⒃用tcpdump嗅探端口的访问看看谁最高

  ⒄tcpdump -i eth -tnn dst port -c | awk -F“。” ‘{print $“。”$“。”$“。”$}’ | sort | uniq -c | sort -nr |head -

  ⒅查找较多time_wait连接

  ⒆stat -n|grep TIME_WAIT|awk ‘{print $}’|sort|uniq -c|sort -rn|head -n

  ⒇查找较多的SYN连接

  ⒈stat -an | grep SYN | awk ‘{print $}’ | awk -F: ‘{print $}’ | sort | uniq -c | sort -nr | more

  ⒉封单个IP的命令是:

  ⒊iptables -I INPUT -s ... -j DROP

  ⒋封IP段的命令是:

  ⒌iptables -I INPUT -s .../ -j DROP

  ⒍iptables -I INPUT -s .../ -j DROP

  ⒎iptables -I INPUT -s .../ -j DROP

  ⒏封整个段的命令是:

  ⒐iptables -I INPUT -s .../ -j DROP

  ⒑封几个段的命令是:

  ⒒iptables -I INPUT -s .../ -j DROP

  ⒓iptables -I INPUT -s .../ -j DROP

  ⒔想在服务器启动自运行的话有三个方法:

  ⒕、把它加到/etc/rc.local中

  ⒖、iptables-save 》/etc/sysconfig/iptables可以把你当前的iptables规则放到/etc/sysconfig/iptables中,系统启动iptables时自动执

  ⒗、service iptables save 也可以把你当前的iptables规则放/etc/sysconfig/iptables中,系统启动iptables时自动执行。

  ⒘后两种更好此,一般iptables服务会在work服务之前启来,更安全。

  ⒙iptables -D INPUT -s IP地址 -j REJECT

  ⒚iptables -F 全清掉了

  ⒛相较于Windows系统下攻击的查看,Linux系统的查看相对复杂些,也比较难懂,需要一定的系统知识储备。