判断Linux主机是否被攻击

首先是发现网络流量不正常，但究竟怎样才算不正常，那就见仁见智了。

攻击类型一般有: 大量发送 tcp syn, 发送 tcp rst包，发送udp包，发送icmp包。

可以用以下命令进行判断主机是否被攻击：

ps auxf 查看进程列表，有无异常进程
top 看活跃进程列表 占用CPU和内存较大的异常进程
iftop 看活跃的网络通讯以及流量
netstat -atlpv 看正在网络通讯的进程和socket连接状态
less /var/log/auth.log 看主机登陆历史
less /var/log/secure 查看ssh的登录日志