【狂人論壇】

 找回密碼
 註冊
搜索

用 netstat 指令查出主機不尋常的連線(DoS,DDoS基本檢測)

[複製鏈接]

5231

主題

1萬

金錢

156

積分

不來恩

積分
156
brian 發表於 2014-12-23 14:27 | 顯示全部樓層 |閱讀模式
剛剛翻到一篇文章很不錯,原文出自於:「netstat 檢查不尋常連線」,主要是 netstat 指令的使用技巧。

透過一些參數與用法,可以讓我們輕鬆檢查 port 80 的連線數、SYNC_REC、同一個 IP 對該主機的連線數... 等等各種數據,適用於 Debian, Ubuntu, FreeBSD... 等系統。


我平常用的是:netstat -n | grep :80 |wc -l ,可以查出總共多少連線數,搭配 bwm-ng 程式來查即時流量狀態,可以看出一些網路連線方面的異常狀態。

其他還有一堆更詳細更精確的用法如下:


netstat -na
顯示主機上所有已建立的連線。

netstat -an | grep :80 | sort
顯示所有 port 80 的連線,並把結果排序。

netstat -n -p|grep SYN_REC | wc -l
列出主機上有多少個 SYNC_REC,一般上這個數字應該相當低。

netstat -n -p | grep SYN_REC | sort -u
同樣是列出 SYNC_REC,但不只列出數字,而是將每個 SYNC_REC 的連線列出。

netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'
列出發送 SYNC_REC 的所有 ip 地址。

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
計算每一個 ip 在主機上建立的連線數量。

netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
列出從 TCP 或 UDP 連線到主機的 ip 的數量。

netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr
列出每個 ip 建立的 ESTABLISHED 連線數量。

netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1
列出每個 ip 建立的 port 80 連線數量。


您需要登錄後才可以回帖 登錄 | 註冊

本版積分規則

手機版|聯絡站長|重灌狂人|狂人論壇

GMT+8, 2020-9-22 04:18

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回復 返回頂部 返回列表