DDOS攻击检测命令

 

netstat -n -p | grep SYN_REC | sort -u

ü  列出所有连接过的IP地址。

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

ü  使用netstat命令计算每个主机连接到本机的连接数。

netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'

ü  列出所有发送SYN_REC连接节点的IP地址。

netstat -an | grep :80 | sort

ü  显示所有80端口的网络连接并排序。如果同一个IP有大量连接的话就可以判定单点流量攻击了。

netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

ü  检查 ESTABLISHED 连接并且列出每个IP地址的连接数量。

netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1

ü  列出所有连接到本机80端口的IP地址和其连接数。

netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

ü  列出所有连接到本机的UDP或者TCP连接的IP数量。

netstat -n -p|grep SYN_REC | wc -l

ü  查找出当前服务器有多少个活动的 SYNC_REC 连接。正常来说这个值很小，最好小于5。 当有Dos攻击或者邮件炸弹的时候，这个值相当的高。一旦获得攻击服务器的IP地址就可以使用以下命令拒绝此IP的所有连接。