配合 awk, cut, sort, uniq 指令, 可以印出每個 ip 的連線數量, 並用連線數量排序由多而小, 以下會針對 TCP ESTABLISHED 連線檢查:- netstat -an|grep ESTABLISHED|awk '/^tcp/ {print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|more
複製代碼 針對 port 80 的連線, 將每個 ip 的連線數量印出並進行排序:- netstat -ntu | grep :80 | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr|more
複製代碼 列出最多連接數的 10 個 IP 及其連接數,其中 “:80” 是連接埠號,可改成想要檢查的埠號- netstat -atnp -A inet | grep ":80" | awk -F " " '{print $5}' | awk -F ":" '{print $1}' | sort | uniq -c | sort -nr | head -10
複製代碼 ' o+ j) A) n$ w: k1 J0 |
透過以上方法找到來源 ip 後, 例如 ip 是 x.x.x.x, 可以用 iptables 阻擋攻擊5 t, c1 E6 g! }. d% q
封鎖 IP- iptables -A INPUT -p all -s x.x.x.x/32 -j DROP
複製代碼 解除封鎖 IP- iptables -D INPUT -p all -s x.x.x.x/32 -j DROP
複製代碼 以上參考:' u$ Y/ x8 x7 d: i) L o }; M1 @
https://www.phpini.com/linux/linux-netstat-detect-ddos3 C% Z: _ M* P4 \
https://www.phpini.com/linux/count-ip-connections
" {! X: J, Z* {8 ^0 L7 Phttps://www.phpini.com/linux/netstat-check-connections, p: n% U+ x* ]0 \1 O7 ?
=================================================
6 [3 j* Q, }6 a$ \" ?2 d5 Y另外:9 `4 Z2 B0 C1 h/ l0 x& B" P# c
查詢哪些port被哪些應用程式佔用:
6 l6 A v0 D f$ _: @% S4 C1.)- netstat -tulpn | grep LISTEN
複製代碼 2.)- lsof -i -P -n | grep LISTEN
複製代碼 3.)- sudo nmap -sT -O localhost
複製代碼 =================================================5 P) w2 w2 w6 L5 B T" |& p+ q
查詢某個port佔用的backlogbacklog應該多大? 參考: https://cloud.tencent.com/developer/article/1644836
1 `" O' {1 b# |/ r |
|