Linux系统软件用netstat命令查询DDOS进攻实际命令使用方法以下:


复制代码代码以下:netstat -na

显示信息全部连接到服务器的活跃性的互联网连接


复制代码代码以下:netstat -an | grep :80 | sort

只显示信息连接到80段口的活跃性的互联网连接,80是http端口号,这针对web服务器十分有用,而且对結果排列.针对你从很多的连接中找到单独启动udp攻击IP十分有用


复制代码代码以下:netstat -n -p|grep SYN_REC | wc -l

这一命令针对在服务器上找到活跃性的SYNC_REC十分有用,总数应当很低,最好是低于5.
在dos攻击和邮件炸弹,这一数据很有可能十分高.殊不知值一般取决于系统软件,因此 高的值很有可能均分给此外的服务器.


复制代码代码以下:netstat -n -p | grep SYN_REC | sort -u

列举全部包括的IP地址而不仅是记数.


复制代码代码以下:netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'

列举全部不一样的IP地址连接点推送SYN_REC的连接情况


复制代码代码以下:netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

应用netstat命令来测算每一个IP地址对服务器的连接总数


复制代码代码以下:netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

列举应用tcp和udp连接到服务器的数量


复制代码代码以下:netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

查验ESTABLISHED连接而并不一定连接,这能够每一个ip的连接数


复制代码代码以下:netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1

显示信息而且列举连接到80端口IP地址和连接数.80被用于做为HTTP
如何缓解ddos进攻

如果你发觉进攻你服务器的IP你能应用下边的命令来关掉她们的连接:


复制代码代码以下:iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT

一定要注意你务必用你应用netstat命令寻找的IP数更换$IPADRESS