如(rú)何使用(yòng)netstat命令判斷服務器(qì)是(shì)否Ωε↓₩遭受Dos攻擊？遭到(dào)DDoS又(yòu)該如(rú)何緩解？&∏

作(zuò)為(wèi)一(yī)個(gè)服務器(qì)運維人(ré↔β÷∏n)員(yuán)，相(xiàng)信都(dō←✔u)遇到(dào)過服務器(qì)卡頓、延→♦遲這(zhè)種現(xiàn)象，原因有(×>φyǒu)可(kě)能(néng)是(shì)腳本出錯(cuò)、程序BU‌σG、服務器(qì)配置錯(cuò)誤等，還(h$∏≥ái)有(yǒu)一(yī)種常見(jiàn)的(de)可(kě)能(néng≠↑•)是(shì)有(yǒu)人(rén)針對(du$₽ì)服務器(qì)發起了(le)DDoS攻擊，導緻服務器(qì)擁堵或直接崩潰。DDoS攻擊是(shì)最常見(jiàn)的(de)一(yī)種網絡攻擊方式，主要(yà®πo)是(shì)通(tōng)過控制(zhì)大(dà)量僵屍網絡肉↔‌雞對(duì)服務器(qì)發送請(qǐng)求，導♥γ♣緻服務器(qì)資源耗盡或者網絡堵塞，使正常用(yòng®≈¶)戶無法訪問(wèn)。今天墨者安全就(ji↑'®₹ù)來(lái)說(shuō)說(shuō)如(rú)何£πλ>使用(yòng)netstat命令判斷服務器(q₽∞ ì)是(shì)否遭受Dos攻擊？遭到(dào)£π¶☆DDoS又(yòu)該如(rú)何緩解？

netstat命令的(de)作(zuò)用(yòng)主要(yào≤★ π)是(shì)用(yòng)來(lái)查詢和(hé)顯示網絡連接、☆"接口統計(jì)、僞連接等，常見(jiàn)的(de)查詢命↔✔♠令有(yǒu)以下(xià)幾種：

netstat -n -p | grep SYN_REC | sortΩ≤​₽ -u

列出所有(yǒu)連接過的(de)IP地(dì)址。  ₩

netstat -ntu | awk '{pr"₹₩​int $5}' | cut -d: -f1 | sort | uβ∑©niq -c | sort -n

使用(yòng)netstat命令計(jì)σ♦算(suàn)每個(gè)主機(jī)連接到(dào)本機(jī)的(de‌♦♦)連接數(shù)。

netstat -na

該命令将顯示所有(yǒu)活動的(de)網絡連接。

netstat -n -p | grep SYN_REC∏π←÷ | awk '{print $5}' | awk -Fα∞£‍: '{print $1}'

列出所有(yǒu)發送SYN_REC連接節點的(de)IP地(dìφ' ε)址。

netstat -an | grep :80 | €∞Ω♠sort

顯示所有(yǒu)80端口的(de)網絡連接→&↔并排序。這(zhè)裡(lǐ)的(de)80端口是(shì)http端口，所以♣♠☆♣可(kě)以用(yòng)來(lái)監控web服務。如(rú)€×‍↑果看(kàn)到(dào)同一(yī)個(gè)IP有(yǒu)←™§♠大(dà)量連接的(de)話(huà)就(jλ‍iù)可(kě)以判定單點流量攻擊了(le)。​​

netstat -ntu | grep ESTAB | aw↔£☆k '{print $5}' | cu≈✔★t -d: -f1 | sort | uniq -c | sort -nr

檢查 ESTABLISHED 連接并且列出每個™¶(gè)IP地(dì)址的(de)連接數(shù)量。

netstat -plan|grep :80|awk {&#♠♦¥‍39;print $5'}|cut -d: -f 1|sort|uni≠α✔q -c|sort -nk 1

列出所有(yǒu)連接到(dào)本機(jī)80端口的(de)I↕↔ ®P地(dì)址和(hé)其連接數(shù)。80端口一'¥​(yī)般是(shì)用(yòng)來(lái)處理(lǐ)HTTP網頁請(qγ  ǐng)求。

netstat -anp |grep '≠¥←;tcp|udp' | awk '{printδ• $5}' | cut -d: -f♥×↔γ1 | sort | uniq -c | sort -n

列出所有(yǒu)連接到(dào)本機(jī)的 ≠(de)UDP或者TCP連接的(de)Iπ™P數(shù)量。

netstat -n -p|grep SYN_REC |→←>γ wc -l

這(zhè)個(gè)命令可(kě)以查找出當前服務器(qì)  ‌有(yǒu)多(duō)少(shǎo)個(gè)活¥÷動的(de) SYNC_REC 連接。正常來(lái)說(shuō)這(zh♥®è)個(gè)值很(hěn)小(xiǎo)，最好(hǎo)小(xiǎo)于 ∞≤5。 當有(yǒu)Dos攻擊或者郵件(jià‌φn)炸彈的(de)時(shí)候，這(zhè)¥→±§個(gè)值相(xiàng)當的(de)高(gāo)。∑©盡管如(rú)此，這(zhè)個(gè)值和(hé)系統有(yǒu)很(hěnΩ™≈)大(dà)關系，有(yǒu)的(de)服務器(qì)值就(ji뮧∑ù)很(hěn)高(gāo)，也(yě)是¶↑​(shì)正常現(xiàn)象。

如(rú)何通(tōng)過netstatΩα命令緩解DDOS攻擊呢(ne)？
 

一(yī)旦獲得(de)攻擊服務器(qì)的(de)IP地(dì)址就(jφ♣♥€iù)可(kě)以使用(yòng)以下(xià)命令拒<γ絕此IP的(de)所有(yǒu)連接。

iptables -A INPUT 1 -s $IPADR♠←₩★ESS -j DROP/REJECT

注意，你(nǐ)需要(yào)将 $IPADRES​ S 替換成需要(yào)拒絕連接的(de)IP地(dì)址。執行(xíng)完€↔以上(shàng)命令後，使用(yòng)  >以下(xià)命令結束所有(yǒu)的(de©γ ♣)httpd連接以清理(lǐ)系統。

killall -KILL httpd

然後執行(xíng)以下(xià)命令重啓httpd服務。

service httpd start   &✘ nbsp;      §≈×π #RedHat 系統 

/etc/init/d/apache2 restart &§↔nbsp; #Debian 系統

當然通(tōng)過netstat命令隻能(néng)緩解部分(f‌​✔ēn)DDoS攻擊，而且還(hái)很(hěn)有(yǒu)可(kě)能(n↕♠β↔éng)造成大(dà)量誤封正常訪客。所以墨者×δ♦安全還(hái)是(shì)建議(yì)φ"'最好(hǎo)通(tōng)過專業(yè)的(de)網絡安全公司部署DDoSγ☆♦ε高(gāo)防IP，對(duì)惡意攻擊流量進行(xín→÷♠'g)清洗，隐藏服務器(qì)源IP，确保源站(zhàn)穩定≥Ω運行(xíng)。