# 여러 번 우리는 CC로 서버가 발생하거나 자신에게 이상 웹 사이트 및 트래픽 비정상적으로 느린 액세스를 발견하면, 공격을 SYN 고통을. 당신은 서버가 공격 여부에 대해 간단한 판단 내장 netstat 명령 시스템을 사용할 수 있습니다. 일반적인 netstat 명령
이 명령은 모든 활성 네트워크 연결을 표시합니다.
#netstat -na더 동시에 연결보기에있는 서버 IP, CC 공격을합니다. 또는 이중 NIC 어댑터를 사용하여 사용할 수 있습니다.
# netstat -an|awk '{print $4}'|sort|uniq -c|sort -nr|head서버에 여러 개의 IP 연결을 연결하는 참조하면 연결이 비정상적으로 IP를 볼 수 있습니다.
#netstat -an|awk -F: '{print $2}'|sort|uniq -c|sort -nr|head(80)는 모든 네트워크 연결 포트와 정렬을 보여줍니다. 80 포트가 여기에 http 포트, 그래서 웹 서비스를 모니터링하는 데 사용할 수 있습니다. 당신은 단어의 많은 수의 동일한 IP 연결을 참조하면 공격 트래픽의 단일 지점을 확인할 수 있습니다.
#netstat -an | grep :80 | sort 현재 서버를 찾을 수이 명령은 SYNC_REC 얼마나 많은 활성 연결이 있습니다. 일반적으로이 값은 5보다 바람직하게는 매우 작다. DoS 공격이나있을 때,이 값이 매우 높다. 그러나 일부 높은 동시 서버는이 값이 너무 높은 공격 반드시 의미하지 않는다, 정말 높다.
#netstat -n -p|grep SYN_REC | wc -l IP 주소를 통해 연결을 모두 나열합니다.
#netstat -n -p | grep SYN_REC | sort -u 그것은 전송 SYN_REC에 연결된 모든 노드의 IP 주소를 나열합니다.
#netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'컴퓨터에 연결된 각 호스트에 대한 연결의 수를 계산하기 위해 netstat 명령을 사용합니다.
#netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n 그것은 IP 또는 UDP 기본 TCP 연결에 연결된 모든 수를 나열합니다.
#netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n 설립 연결을 확인하고 각 IP 주소에 대한 연결 수를 나열합니다.
#netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr (80)가 연결 포트와 IP 주소에 연결되어있는 모든 컴퓨터를 나열합니다. 포트 80는 일반적으로 HTTP 페이지 요청을 처리하는 데 사용됩니다.
#netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1 (80) (10)을 IP 전에 접속 포트를 나타내고, 각각의 IP에 대한 연결의 수를 표시한다. 80 포트가 여기에 http 포트, 그래서 웹 서비스를 모니터링하는 데 사용할 수 있습니다. 당신은 단어의 많은 수의 동일한 IP 연결을 참조하면 공격 트래픽의 단일 지점을 확인할 수 있습니다.
#netstat -antp | awk '$4 ~ /:80$/ {print $4" "$5}' | awk '{print $2}'|awk -F : {'print $1'} | uniq -c | sort -nr | head -n 10